c:\a.bat infectado por el troyano ZapChast.reg

ricardo7 · Mensaje por **ricardo7** » 06 Sep 2006, 10:36

Hola

Tengo instalado y actualizado tanto el Virussacn como el Firewall de Mcafee, y pesar de haber analizado todo el Sistema, cada vez que inicio Windows 2000 profesional, me salta una ventana de Mcafee con el siguiente mensaje:

El archivo c:\a.bat estaba infectado por el troyano ZapChast.reg y se ha eliminado para completar el proceso de limpieza.

Por favor podriais indicarme como se genera este virus, y como eliminarlo.

Muchas gracias de Antemano

Mensaje por **msc hotline sat** » 06 Sep 2006, 14:03

Apenas hay informacion al respecto:

http://vil.nai.com/vil/content/v_133693.htm

Envienos muestra del fichero si quiere que lo analicemos e informemos de lo que hace

Pero de entrada es troyano, asi que no se propaga infectando como los virus, sino por traerlo a casa bien en una aplicacion que lo incluia, bien descargado por un downloader o bien por visitar una web que lo pegue, y al ser un reg, está claro que su accion viene por la modificacion de una clave de registro, que veremos si nos envia la muestra

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

saludos

ms, 6-9-2006

ricardo7 · Mensaje por **ricardo7** » 06 Sep 2006, 23:36

Hola

No encuentro dicho fichero, pero lo que si he encontrado es la carpeta c:\$WIN_NT$.~BT con una subcarpeta system32 que contiene los siguientes ficheros ntdll.dll y smss.exe, ademas la carpeta c:\$WIN_NT$.~BT contiene un monton de ficheros de tipo Archivo NL_, Archivo_SIF,Archivo_SY, etc

He renombrado y copiado dicha carpeta a una unidad de disco externa, y parece que ya no sale dicho mensaje.

No se pq se ha creado dicha carpeta ¿Alguna Idea?

Si necesitais algun tipo de Log o fichero, con mas informacion por favor decirme cuales y como los extaigo.

Gracias de Antemano

Mensaje por **msc hotline sat** » 07 Sep 2006, 08:00

Si moviendo dicha carpeta se ha solucionado el problema, dejelo asi, Y si en ella hay algun ejecutable, envienoslo y lo analizaremos

saludos

ms, 7-9-2006

ricardo7 · Mensaje por **ricardo7** » 07 Sep 2006, 20:51

Bueno Pues tras dos dias observando el PC, parece que todo funciona corerctamnete, lo unico que he notado es que Internet va algo lento, pero no se si es algo del PC o algo de la linea telefonica, pongo resumen de HJT y del Login de arranque por si vierais algun proceso sospechoso que no deberia estar,

Muchas Gracias por vuestra ayuda

Logfile of HijackThis v1.99.1
Scan saved at 18:46:23, on 07/09/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

Código: Seleccionar todo

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\hidserv.exe
c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
C:\ARCHIV~1\McAfee.com\PERSON~1\MpfService.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe
c:\archivos de programa\mcafee.com\agent\mcagent.exe
c:\archivos de programa\mcafee.com\vso\mcvsshld.exe
c:\archiv~1\mcafee.com\vso\mcvsescn.exe
C:\WINNT\system32\LVCOMSX.EXE
C:\Archivos de programa\Logitech\Video\LogiTray.exe
C:\Archivos de programa\Card Reader\shwicon.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINNT\system32\dvdafw.exe
C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\dvdafw.exe
C:\Archivos de programa\Jazztel\Jazztel ADSL USB\dslmon.exe
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\ARCHIV~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Archivos de programa\Logitech\Video\FxSvr2.exe
D:\Aplicaciones\Analisis Sistema\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jazztel.es/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.jazztel.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\ARCHIV~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ShowIcon_The Company_Card Reader v1.14e049] "C:\Archivos de programa\Card Reader\shwicon.exe" -t"The Company\Card Reader v1.14e049"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Vodkjam] dvdafw.exe
O4 - HKLM\..\Run: [MPFExe] C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\RunServices: [Vodkjam] dvdafw.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [Vodkjam] dvdafw.exe
O4 - HKCU\..\Run: [HijackThis startup scan] D:\Aplicaciones\Analisis Sistema\hijackthis\HijackThis.exe /startupscan
O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\Jazztel\Jazztel ADSL USB\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\system32\Shdocvw.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1156882789765
O16 - DPF: {9C024426-7859-4B2D-AB4C-B1E370AE7549} - http://es.mcafee.com/Apps/WSC/es/WscWlanScannerCtrl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\ARCHIV~1\McAfee.com\PERSON~1\MpfService.exe
O23 - Service: Creative NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

StartupList report, 07/09/2006, 18:47:39
StartupList version: 1.52.2
Started from : D:\Aplicaciones\Analisis Sistema\hijackthis\HijackThis.EXE
Detected: Windows 2000 SP4 (WinNT 5.00.2195)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\hidserv.exe
c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
C:\ARCHIV~1\McAfee.com\PERSON~1\MpfService.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe
c:\archivos de programa\mcafee.com\agent\mcagent.exe
c:\archivos de programa\mcafee.com\vso\mcvsshld.exe
c:\archiv~1\mcafee.com\vso\mcvsescn.exe
C:\WINNT\system32\LVCOMSX.EXE
C:\Archivos de programa\Logitech\Video\LogiTray.exe
C:\Archivos de programa\Card Reader\shwicon.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINNT\system32\dvdafw.exe
C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\dvdafw.exe
C:\Archivos de programa\Jazztel\Jazztel ADSL USB\dslmon.exe
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\ARCHIV~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Archivos de programa\Logitech\Video\FxSvr2.exe
D:\Aplicaciones\Analisis Sistema\hijackthis\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio]
DSLMON.lnk = C:\Archivos de programa\Jazztel\Jazztel ADSL USB\dslmon.exe
Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Synchronization Manager = mobsync.exe /logon
NvCplDaemon = RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
nwiz = nwiz.exe /install
UpdReg = C:\WINNT\UpdReg.EXE
VSOCheckTask = "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
VirusScan Online = C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe
OASClnt = C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe
MCAgentExe = c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
MCUpdateExe = c:\ARCHIV~1\mcafee.com\agent\McUpdate.exe
LVCOMSX = C:\WINNT\system32\LVCOMSX.EXE
LogitechVideoRepair = C:\Archivos de programa\Logitech\Video\ISStart.exe
LogitechVideoTray = C:\Archivos de programa\Logitech\Video\LogiTray.exe
ShowIcon_The Company_Card Reader v1.14e049 = "C:\Archivos de programa\Card Reader\shwicon.exe" -t"The Company\Card Reader v1.14e049"
TkBellExe = "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
Vodkjam = dvdafw.exe
MPFExe = C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Vodkjam = dvdafw.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

internat.exe = internat.exe
LogitechSoftwareUpdate = "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot
Vodkjam = dvdafw.exe
HijackThis startup scan = D:\Aplicaciones\Analisis Sistema\hijackthis\HijackThis.exe /startupscan

--------------------------------------------------

Shell & screensaver key from C:\WINNT\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=(NINGUNO)
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll - {9394EDE7-C8B5-483E-8773-474BF36AF6E4}
(no name) - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}

--------------------------------------------------

Enumerating Download Program Files:

[McAfee.com Operating System Class]
InProcServer32 = C:\WINNT\system32\mcinsctl.dll
CODEBASE = http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab

[WUWebControl Class]
InProcServer32 = C:\WINNT\system32\wuweb.dll
CODEBASE = http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1156882789765

[{9C024426-7859-4B2D-AB4C-B1E370AE7549}]
CODEBASE = http://es.mcafee.com/Apps/WSC/es/WscWlanScannerCtrl.cab

[DwnldGroupMgr Class]
InProcServer32 = C:\WINNT\system32\McGDMgr.dll
CODEBASE = http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINNT\system32\Macromed\Flash\Flash9.ocx
CODEBASE = http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll
WebCheck: C:\WINNT\system32\webcheck.dll
SysTray: stobject.dll

--------------------------------------------------
End of report, 6.818 bytes
Report generated in 0,062 seconds

Command line options:
   /verbose  - to add additional info on each section
   /complete - to include empty sections and unsuspicious data
   /full     - to include several rarely-important sections
   /force9x  - to include Win9x-only startups even if running on WinNT
   /forcent  - to include WinNT-only startups even if running on Win9x
   /forceall - to include all Win9x and WinNT startups, regardless of platform
   /history  - to list version history only

Mensaje por **msc hotline sat** » 07 Sep 2006, 21:22

Arranque en modo seguro y lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX CHECKED:
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
Aparte, la existencia de tres claves cargando un mismo fichero nos parece sospechoso:

Envíenos muestra de este fichero:
C:\WINNT\system32\dvdafw.exe

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y así podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

saludos
ms, 7-9-2006

ricardo7 · Mensaje por **ricardo7** » 08 Sep 2006, 09:45

Hola

Estoy intentando enviaros el fichero:
C:\WINNT\system32\dvdafw.exe, pero el Mcafee lo bloquea por considerarlo sospechoso, he intentado meterlo en un zip ,cambiarle la extensión y renombrarlo, pero nada. Por favor decirme como puedo hacerlo.

Sabeis si este fichero es del Windows o de que aplicacion es?

Muchas Gracias

Mensaje por **msc hotline sat** » 08 Sep 2006, 10:06

Claro, desactiva el antivirus (boton derecho sobre el escudo del Vshield de la barra de inicio -> Desactivar analisis en tiempo real) y empaquetalo en un ZIP con password VIRUS

Es la manera de que el fichero sea encriptado y los antivirus no puedan detectar el virus que contenga.

De hecho es la forma que desde hace muchos años enviamos las muestras a McAfee

saludos
ms, 8-9-2006

y señal que hemos acertado, pero lo raro es que McAfee no se lo detectara normalmente ... ms.

ricardo7 · Mensaje por **ricardo7** » 12 Sep 2006, 09:12

Hola

El Viernes os envie el archivo dvdafw.exe, comprimido en un zip y con la psw VIRUS, por favor me podriais confirmar si lo habeis recibido, luego me di cuenta que en el Outlook salia un msg diciendo que habia eliminado dicho archivo al considerarlo sospechoso, tambien os envie en otro correo la carpeta $WIN_NT$.~BT

Saludos y Gracias por vuestra ayuda

ricardo7 · Mensaje por **ricardo7** » 12 Sep 2006, 09:15

Hola

Tal y como podeis ver el archivo svchost.exe sale 3 o 4 veces en los procesos del sistema.

Sabeis esto a que se debe?

Logfile of HijackThis v1.99.1
Scan saved at 8:06:37, on 12/09/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

Código: Seleccionar todo

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\hidserv.exe
c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
C:\ARCHIV~1\McAfee.com\PERSON~1\MpfService.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe
C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe
c:\archivos de programa\mcafee.com\agent\mcagent.exe
c:\archiv~1\mcafee.com\vso\mcvsescn.exe
C:\WINNT\system32\LVCOMSX.EXE
C:\Archivos de programa\Logitech\Video\LogiTray.exe
C:\Archivos de programa\Card Reader\shwicon.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINNT\system32\dvdafw.exe
C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\dvdafw.exe
D:\Aplicaciones\Analisis Sistema\hijackthis\HijackThis.exe
C:\ARCHIV~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Archivos de programa\Logitech\Video\FxSvr2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jazztel.es/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.jazztel.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\ARCHIV~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ShowIcon_The Company_Card Reader v1.14e049] "C:\Archivos de programa\Card Reader\shwicon.exe" -t"The Company\Card Reader v1.14e049"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Vodkjam] dvdafw.exe
O4 - HKLM\..\Run: [MPFExe] C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [Tau Monitor] C:\ARCHIV~1\Agnitum\TAUSCA~1.6\taumon.exe
O4 - HKLM\..\RunServices: [Vodkjam] dvdafw.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [Vodkjam] dvdafw.exe
O4 - HKCU\..\Run: [HijackThis startup scan] D:\Aplicaciones\Analisis Sistema\hijackthis\HijackThis.exe /startupscan
O4 - Global Startup: Microsoft Office (2).lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\system32\Shdocvw.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1156882789765
O16 - DPF: {9C024426-7859-4B2D-AB4C-B1E370AE7549} - http://es.mcafee.com/Apps/WSC/es/WscWlanScannerCtrl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\ARCHIV~1\McAfee.com\PERSON~1\MpfService.exe
O23 - Service: Creative NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

Mensaje por **msc hotline sat** » 12 Sep 2006, 11:03

El monstruoso fichero que nos ha enviado con 110 ficheros empaquetados, no contiene justamente el dvdafw.exe que efectivamente es un malware, del que necesitamos nos envie muestras (solo de él) empaquetado en un ZIP con password VIRUS

NO DEBEN ENVIARSE EMPAQUETADOS DE MAS DE 4 FICHEROS PARA ANALIZAR, a excepción que hayan sido solicitados por nuestras utilidades !!! (de lo contrario no serán analizados)

Lanzando el ELITRIIP verá como le pide muestra del sospechoso en cuestion:
ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp

Tras recibirlo lo examinaremos y procederemos a implementar su control y eliminacion en nuestras utilidades, de lo cual informaremos en el foro, como siempre

saludos
ms, 12-9-2006

ricardo7 · Mensaje por **ricardo7** » 13 Sep 2006, 12:53

Ayer por la tarde os envie el fichero dvdafw.exe , a la direccion de correo que me habeis dado, pero dio el siguiente error

Outlook Express quito el acceso al siguiente archivo adjunto no confiable en su correo ricardodvdafw.zip

Dicho fichero esta comprimido en un Zip y con clave VIRUS.
Por favor si pudeis confirmarme que os ha llegado.

Di no sabeis como se puede elimnar este mensaje del Outlook.

Gracias de Antemano

Mensaje por **msc hotline sat** » 13 Sep 2006, 13:28

En la muestra enviada se detecta un SDBOT y el VirusTotal indica:

VirusTotal escribió: es el resultado completo de analizar el archivo "dvdafw.exe" que VirusTotal ha recibido el día 13.09.2006 a las 13:10:03 (CET).
Antivirus Version Actualización Resultado
AntiVir 7.1.1.16 13.09.2006 HEUR/Malware
Authentium 4.93.8 13.09.2006 no ha encontrado virus
Avast 4.7.844.0 11.09.2006 Win32:SdBot-3366
AVG 386 12.09.2006 IRC/BackDoor.SdBot2.HKG
BitDefender 7.2 13.09.2006 Generic.Malware.SI!WB.C61F2B8F
CAT-QuickHeal 8.00 12.09.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 13.09.2006 no ha encontrado virus
DrWeb 4.33 13.09.2006 Win32.IRC.Bot.based
eTrust-InoculateIT 23.72.123 13.09.2006 Win32/Slinbot.0es!Worm
eTrust-Vet 30.3.3073 12.09.2006 Win32/Slinbot.AOJ
Ewido 4.0 13.09.2006 no ha encontrado virus
Fortinet 2.77.0.0 13.09.2006 W32/SDBot!tr.bdr
F-Prot 3.16f 13.09.2006 no ha encontrado virus
F-Prot4 4.2.1.29 13.09.2006 no ha encontrado virus
Ikarus 0.2.65.0 12.09.2006 no ha encontrado virus
Kaspersky 4.0.2.24 13.09.2006 Backdoor.Win32.SdBot.gen
McAfee 4850 12.09.2006 no ha encontrado virus
Microsoft 1.1560 13.09.2006 Win32/NetWorm.gen
NOD32v2 1.1753 12.09.2006 a variant of IRC/SdBot
Norman 5.90.23 13.09.2006 W32/Ircbot.CFS
Panda 9.0.0.4 12.09.2006 Bck/Sdbot.IBN
Sophos 4.09.0 13.09.2006 W32/Sdbot-Fam
Symantec 8.0 13.09.2006 no ha encontrado virus
TheHacker 5.9.8.210 13.09.2006 no ha encontrado virus
UNA 1.83 11.09.2006 no ha encontrado virus
VBA32 3.11.1 12.09.2006 no ha encontrado virus
VirusBuster 4.3.7:9 12.09.2006 Worm.SdBot.CQS

Información adicional
Tamaño archivo: 31364 bytes
MD5: f837afb65b5069e329c669e77af5ecc2
SHA1: 46fd171a6e526fe88289a940f159db4c62aeaf20
packers: UPack

Se implementa su control y eliminacion en nuestra utilidad ELITRIIP 2.46 de hoy y se envian muestras a McAfee para su inclusion en proximos DAT

salidos
ms, 13-9-2006

Mensaje por **msc hotline sat** » 13 Sep 2006, 18:46

Subidas nuevas versiones de ELITRIIP 2.46 y ELISTARA 12.33

Tras descargarlas, pruebelas y comentenos el resultado, gracias

saludos
ms, 13-9-2006

ricardo7 · Mensaje por **ricardo7** » 14 Sep 2006, 09:17

Hola

Después de instalar y probar las nuevas versiones de ELITRIIP 2.46 y ELISTARA 12.33 os comento los resultados:
1- Al arrancar cualquiera de los dos programas pide que instale los parches de seguridad de Microsoft MS04-011 Y 012, el 011 si lo he isntalado, pero el 012 no lo encuentro, he probado realizando una actualizacion automatica desde el Windows Update instalando todas las actualizaciones pero tampoco de ha instalado.

2- Ha eliminado el Troyano ALEXIA

3- En los procesos Activos el pgm C:\WINNT\system32\svchost.exe esta tres veces.

Por lo demas no he notado nada extraño en el Ordenador

Saludos

Mensaje por **msc hotline sat** » 14 Sep 2006, 09:47

Si el dvdafw.exe no lo eliminó a mano, la actual version del ELITRIIP debe detectarlo y eliminarlo, por lo que nos extraña lo que dice de que no hizo nada al respecto ???

Por ello necesitamos que nos postee el contenido del C:\infosat.txt para ver el resultado del proceso, y si es que eliminó el fichero a mano, diganoslo, claro

Aparte, contesto los puntos requeridos en su post

1- la notificacion de falta de parches es justamente para advertir puntualmente de los que miramos si estan para, en caso contrario, proceder a instalar TODOS LOS CRITICOS que falten, lo cual se ontiene lanzandpo un windowsupdate para saber cuales e instalarlos con la misma aplicacion.
2.-El Alexa es un adware de poca importancia que se incorpora hasta por instalar algunas aplicaciones de Microsoft
3.- El SVCHOST.EXE lanzado desde la carpeta de sistema es normal, y cimi que es el lanzador de tareas de windows, puede estar 3, 4 y 5 veces o las que sea, según las aplicaciones lanzadas que lo usen.

saludos
ms, 14-9-2006

ricardo7 · Mensaje por **ricardo7** » 14 Sep 2006, 19:51

Efectivamente el fichero dvdafw.exe lo habia movido a otra carpeta fuera del disco C, para poder restaurarlo o eliminarlo si fuese necesario, por lo que no fue detectado. Siento no haberlo dicho antes, pero no me acorde en ese momento que lo habia movido de sitio.

Os acabo de enviar el fichero Infosat.txt

Gracias y siento el malentendido

Saludos

Mensaje por **msc hotline sat** » 14 Sep 2006, 20:29

El infosat.txt, si quiere, es para postearlo aqui, no para enviarlo por correo, pues informes y logs es en el foro donde podemos analizarlos u comentarlos

Solo las muestras, para analizar en el servicio tecnico, es lo que se pide que se envie por correo

Posteenos el contenido de dicho infosat.txt en su proximo post, y asi veremos si podemos dar por solucionado el Tema, gracias

saludos
ms, 14-9-2006

ricardo7 · Mensaje por **ricardo7** » 15 Sep 2006, 21:34

Os adjunto los resultados del InfoSat.

Saludos

Tue Sep 12 19:39:28 2006
EliTriIP v2.45 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
No detectado Parche MS04-011 de Microsoft instalado. (LSASS)
No detectado Parche MS04-012 de Microsoft instalado. (RPC)

	  Tue Sep 12 19:44:31 2006
EliTriIP v2.45  (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS04-011 de Microsoft instalado. (LSASS)
No detectado Parche MS04-012 de Microsoft instalado. (RPC)

	  Wed Sep 13 20:30:39 2006
EliStartPage v12.33  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINNT\WEB\RELATED.HTM --> Eliminado 
Entrada Eliminada [HKLM\...\Run] "UpdReg"="C:\WINNT\UpdReg.EXE"
No detectado Parche MS04-011 de Microsoft instalado. (LSASS)
No detectado Parche MS04-012 de Microsoft instalado. (RPC)
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Wed Sep 13 20:37:34 2006
EliTriIP v2.46  (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKCU\...\Run] "Vodkjam"="dvdafw.exe"
Entrada Eliminada [HKLM\...\Run] "Vodkjam"="dvdafw.exe"
Entrada Eliminada [HKLM\...\RunServices] "Vodkjam"="dvdafw.exe"
No detectado Parche MS04-011 de Microsoft instalado. (LSASS)
No detectado Parche MS04-012 de Microsoft instalado. (RPC)

	  Wed Sep 13 21:01:54 2006
EliStartPage v12.33  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINNT\WEB\RELATED.HTM --> Eliminado 
No detectado Parche MS04-012 de Microsoft instalado. (RPC)
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Wed Sep 13 21:34:06 2006
EliStartPage v12.33  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS04-012 de Microsoft instalado. (RPC)

	  Thu Sep 14 19:29:58 2006
EliStartPage v12.33  (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS04-012 de Microsoft instalado. (RPC)
Eliminados Ficheros Temporales del IE

Mensaje por **msc hotline sat** » 16 Sep 2006, 08:38

Pues está claro que está limpio pero le faltan parches críticos !

Lance un windowsupdate !!!

saludos
ms, 16-9-2006

c:\a.bat infectado por el troyano ZapChast.reg

c:\a.bat infectado por el troyano ZapChast.reg

svchost.exe 3 veces