Siendo original win32 agent-VM

[chorus]

Llevo un par de horas leyendo antiguos mensajes de gente que ha tenido el mismo problema que yo.

He intentado hacer todo lo que ha estado en mis manos, escanear con Avast,en windows y antes de que windows cargue. He pasado el Spybot,Ad aware,elistartA y alguna que otra cosa. Pero avast me sigue dando el mismo mensaje: '' A trojan Horse has been detected C:/documen~1/marcos.osto/locals~1/temp/53exmodul32 (esta ultima cifra cambia algunos otros ejemplos son 48exmodul32,74exmodul32,98exmodul32...)

Win32:Agent-VM[trj]



Este es el mensaje de ElistartA:



Sat Sep 30 22:33:36 2006

EliStartPage v12.43 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.5,85.255.112.24

Eliminada Carpeta "%WinSys%\LogFiles"

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Sep 30 22:35:18 2006

EliStartPage v12.43 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Program Files\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible

C:\Program Files\Webteh\BSplayer\UNINSTALL.EXE --> AutoExtraible

C:\WINDOWS\system32\SYSDM.EXE --> Eliminado, DownLoader.AXG (notify)



Sat Sep 30 22:42:52 2006

EliStartPage v12.43 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Program Files\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible

C:\Program Files\Webteh\BSplayer\UNINSTALL.EXE --> AutoExtraible



Y este es el mensaje de HijackThis:

Logfile of HijackThis v1.99.1

Scan saved at 16:46:54, on 30/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5346.0005)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\eManager\anbmServ.exe

C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\cisvc.exe

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Raxco\PerfectDisk\PDSched.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Google\Gmail Notifier\gnotify.exe

C:\acer\epm\epm-dm.exe

C:\Program Files\VisualTaskTips\VisualTaskTips.exe

C:\Program Files\TuneUp Utilities 2006\MemOptimizer.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Rainlendar\Rainlendar.exe

C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Downloads\My Pictures\College\HijackThis.exe



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [CtrlVol] "C:\Program Files\Launch Manager\CtrlVol.exe"

O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe

O4 - HKCU\..\Run: [VisualTaskTips] C:\Program Files\VisualTaskTips\VisualTaskTips.exe

O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Program Files\TuneUp Utilities 2006\MemOptimizer.exe" autostart

O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO

O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Startup: Rainlendar.exe

O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe

O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

O8 - Extra context menu item: &AOL Toolbar search - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aolsvc.aol.co.uk/computercheckup/qdiagcc.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab

O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{263DE09D-B687-4810-96FF-B7F3E49D90DF}: NameServer = 85.255.115.5,85.255.112.24

O17 - HKLM\System\CCS\Services\Tcpip\..\{548B42CA-FA56-49CD-900D-DD506FF5E8FE}: NameServer = 85.255.115.5 85.255.112.24

O17 - HKLM\System\CCS\Services\Tcpip\..\{5EBA3A9B-58A6-4895-804E-35C006DC00D7}: NameServer = 85.255.115.5,85.255.112.24

O17 - HKLM\System\CCS\Services\Tcpip\..\{AF87A4CB-C65E-49C4-8EA4-BC4ED0DD9BE4}: NameServer = 85.255.115.5,85.255.112.24

O17 - HKLM\System\CCS\Services\Tcpip\..\{C1ECD836-AD09-4EE8-A01E-886348D51664}: NameServer = 85.255.115.5,85.255.112.24

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.5 85.255.112.24

O17 - HKLM\System\CS1\Services\Tcpip\..\{263DE09D-B687-4810-96FF-B7F3E49D90DF}: NameServer = 85.255.115.5,85.255.112.24

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.5 85.255.112.24

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe



Gracias de antemano.



Marcos

[msc hotline sat]

Antes de analizar el log HJT veo que el ELISTARA te ha eliminado un DOWNLOADER y que tienes un servidor de DNS malicioso.



Bien por lo primero, pero NO por lo segundo... !!!



Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.5,85.255.112.24





Tienes como servidores de DNS unos de UKRAINA considerados maliciosos:



DNS Server ukraina malicious: 85.255.115.5 UA Ukraine 07 Kharkivs\\\'ka Oblast\\\' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company 85.255.112.24 UA Ukraine 07 Kharkivs\\\'ka Oblast\\\' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company



Tras informarte con tu ISP de cuales te recomiendan, puedes probar cambiarlos con CONFGDNS.EXE



CONFGDNS.EXE

http://www.zonavirus.com/descargas/confgdns.asp



voy a ver que mas dice el log...



elimina estas claves:



O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)



O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)





y tienes un virus galopando que puede que sea de una variante desconocida todavia ya que tu antivirus no lo ha detectado:



Descarga y prueba el ELITRIIP que lo eliminara si conoce dicha variante y si no, pedira muestras de



C:\WINDOWS\system\smss.exe (ojo el de la carpeta SYSTEM, no el de SYSTEM32 que es del sistena operativo)



C:\WINDOWS\system32\nvsvcd.exe





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso







Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.





saludos



ms, 1-10-2006

[msc hotline sat]

Recibida muestra del smss.exe pedida por el ELITRIIP, correponde a nueva variante de Backdoor CMQ que pasamos a controlar con la nueva version de hoy del ELITRIIP 2.55



Esta tarde estara disponible a partir de las 19 h



Descarguela y nos comenta el resultado, gracias



saludos



ms, 3-10-2006



ET31006

[msc hotline sat]

Ya disponible nueva version del ELITRIIP



https://foros.zonavirus.com/aqui-vp68909.html#68909



saludos



ms, 3-10-2006