Infectado con virus que no puedo quitar

[bloq78]

Hola a todos tengo un pequeño problema a ver si me podeis ayudar. Mi antivirus es el avast y desde hace un par de dias me salen constantes mensajes de virus concretamente dos virus el Win32 Agent-VM y el Win32 Horst N sendos troyanos.

Despues de leer los mensajes de este foro arranque el windows a prueba de fallos y pase el antivirus elimine los archivos que me decia que eran virus al igual que los archivos temporales y los archivos temporales de internet. En los archivos temporales hay un archivo que no puedo borrarlo que me imagino que sera el virus propiamente dicho y se llama ~DFBE34.tmp

Me he bajado el HJT y aqui os pongo el log a ver sime podeis ayudar



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\ATI Technologies\ATI HydraVision\HydraDM.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Macromedia\FreeHand MX\FreeHand MX.exe

D:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Archivos de programa\ATI Technologies\ATI HydraVision\HydraDM.exe

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O15 - Trusted Zone: http://mail.grupogdt.com

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{094D48E6-FFE1-41C2-AC0B-234708B6AD53}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CS1\Services\Tcpip\..\{094D48E6-FFE1-41C2-AC0B-234708B6AD53}: NameServer = 80.58.0.33,80.58.32.97

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe



Muchas gracias a todos y un saludo

[msc hotline sat]

El log no está completo (falta la cabecera, con datos importantes), pero estña claro que tiene alguna variantes del backdoor CMQ, llamele Agent o como quiera, segun el antivirus, y del que ya controlamos mas de 90 variantes con el ELITRIIP:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp





Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



Esta utilidad se lo eliminará o le pedira muestras que analizaremos y controlaremnos en la siguiente version (a diario las renovamos)



saludos



ms, 5-10-2006

[bloq78]

Muchas gracias por su respuesta , perdone por no poner la cabezera aqui esta

Logfile of HijackThis v1.99.1

Scan saved at 10:35:04, on 05/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



En breve voy a descargarme el programa que me dice a ver si me soluciona algo , tambien tengo un programa en mi ordenador que se llama spybot search & destroy no se si lo conoce voy a pasarlo a ver que me dice mientras me descargo su programa

Un saludo y muchas gracias

[msc hotline sat]

Claro que lo conocemos, el Ad_Aware y el Spybot son los dos antispywares mas veteranos que existen.



De todas formas lo que tiene Vd es un backdoor, muy prolífico como le he dicho, pues cada dñía recibimos unas 20 muestras de ésta familia, de las cuales algunas ya conocemos y otras pasan a ser conocidas e implementadas en el ELITRIIP, por eso le he dicho que una cosa u otra, o lo eliminamos o le pediremos muestra, o lo uno y lo otro pues al ser de dos componentes a veces uno ya lo eliminamos y del otro pedimos muestra.



Pero ya lo veremos ...



saludos



ms, 5-10-2006

[bloq78]

EN el archivo infosat.txt porne lo siguiente:





Thu Oct 05 12:45:25 2006

EliTriIP v2.56 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SMSS.EXE.Muestra EliTriIP v2.56

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM\SMSS.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\NVSVCD.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] ".nvsvc"="C:\WINDOWS\system\smss.exe /w"



Mientras el programa funcionaba me ha saltado el virus otra vez pero no se si realmente me lo ha limpiado o no.

El spybot me ha encontrado el win32 agent y dice que lo ha limpiado

Paso otra vez el avast arrancando en modo a prueba de fallos?

Saludos y muchas gracias

[msc hotline sat]

No dene tener antuicviuus residente mientras poasa la exploraciuon del ELITRIIP, como le indica la pantalla en la que aparece el boton de EXPLORAR



De los dos componentes, uno ya lo henmos elimimado, pero el otro necesitamos nos ebnbie muestra parta analizar y potenciar la utuilidad on el control de la misma:



Por favor, envienos una muestra del fichero

C:\Muestras\SMSS.EXE.Muestra EliTriIP v2.56



Ojo,m envienos el SMSS de esta carpeta, no de otra parte !!!



Y de momento, tras reiniciar, el virus ya está fuera de circulacion, solo falta que lance la nueva version que controlará la muestra que nos envie, para eliminar los restos



Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.



saludos



ms, 5-10-2006

[bloq78]

Perdone pero no le he entendido bien , he vuelto a hacer el escaneo pero con el residente desactivado y me ha dado como resultado:





Thu Oct 05 12:45:25 2006

EliTriIP v2.56 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SMSS.EXE.Muestra EliTriIP v2.56

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM\SMSS.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\NVSVCD.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] ".nvsvc"="C:\WINDOWS\system\smss.exe /w"



Tambien he enviado por correo electronico el archivo , ya puedo decir que estoy desinfectado o tengo que hacer algo mas?

Saludos y muchas gracias

[msc hotline sat]

Este es el report del primer escaneo, fijese en la hora: Thu Oct 05 12:45:25 2006

o sea las 12:45, que es la del primero



EL segundo no hay report porque ya no ha detectado nada, pues los ficheros los hemos eliminado, solo un SMSS.EXE lo habiamos copiado a C:\muestras antes de borrarlo.



Mire si en dicha carpeta hay este fichero y nos lo envia.



Si no la hay por haber intervenido otros anti... como el SPybot que es un antispyware o el antivirus residente que tení, en tal caso ya no hay nada que hacer pues nos hemos quedado sin muestra, en tal caso indiquyenoslo igualmente para cerrar el Tema



saludos



ms, 5-10-2006

[bloq78]

Muchisimas gracias por todo , parece que el virus ha sido eliminado pego el log del hjt? o no es necesario?

Si no es necesario y yaa esta por favor cierre el hilo con la mayor de mi gratitud

Saludos

[msc hotline sat]

Un momento, que no hay que dejar cabos sueltos



Mire si tiene este fichero:



C:\Muestras\SMSS.EXE.Muestra EliTriIP v2.56



y nos lo cuenta, tanto en un sentido como en otro, gracias



saludps



ms, 6-10-2006

[bloq78]

Si que tengo ese archivo , lo mande como archivo adjunto a la direccion que usted me dijo pero no he recibido contestacion

Saludos

[msc hotline sat]

Se reciben cientos de mail con muestras a diario y quizas este no entró en la cuenta adecuada oi cion la referencia...



Lanza el ELITRIIP actual. 2.59 y ns cuentas el resultado, gracias:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 10-10-2006