VIRUS!!! Trojan.Win32.Agent.aae

[Annatar]

Saludos:

Tengo este virus:Trojan.Win32.Agent.aae

y no se como quitarlo. por favor ayudadme estoy desesperado.

está ubicado en esta carpeta: c:\WINDOWS\system32\wingdm32.dll

Gracias por adelantado

PD: he pasado los antivirus online que teneis y nada.

He pasado el Hijackthis 1.99:

Logfile of HijackThis v1.99.1
Scan saved at 0:36:51, on 23/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\csrss.exe
I:\WINDOWS\SYSTEM32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
J:\Utilidades\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
I:\WINDOWS\system32\svchost.exe
J:\Utilidades\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
J:\Utilidades\Panda Titanium 2006 Antivirus + Antispyware\AVENGINE.EXE
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\System32\svchost.exe
j:\utilidades\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\Explorer.EXE
I:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
I:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
I:\WINDOWS\system32\nvsvc32.exe
J:\Utilidades\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
I:\WINDOWS\system32\HPZipm12.exe
J:\Utilidades\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\wdfmgr.exe
I:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
I:\WINDOWS\System32\alg.exe
I:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
I:\WINDOWS\SOUNDMAN.EXE
I:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
J:\Utilidades\MSN Plus! 3.61\MsgPlus.exe
J:\Utilidades\QuickTime 7.0.2\qttask.exe
J:\Utilidades\CyberLink PowerDVD 6 Deluxe\PDVDServ.exe
J:\Utilidades\Winamp Pro 5.09\winampa.exe
I:\WINDOWS\system32\ctfmon.exe
J:\Utilidades\Mini20\Mini20.exe
I:\Archivos de programa\Messenger\msmsgs.exe
I:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
I:\Archivos de programa\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
J:\Utilidades\Panda Titanium 2006 Antivirus + Antispyware\Apvxdwin.exe
J:\Utilidades\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exe
I:\Archivos de programa\MSN Messenger\msnmsgr.exe
I:\WINDOWS\system32\svchost.exe
J:\Utilidades\Panda Titanium 2006 Antivirus + Antispyware\avtask.exe
J:\Utilidades\HijackThis\HijackThis.exe
I:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - J:\Utilidades\Acrobat Reader 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2A07F060-8544-B6A7-8268-07D83CC87784} - I:\WINDOWS\system32\ixueqfd.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - J:\UTILID~1\SPYBOT~1.4\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - I:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [nTrayFw] I:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] I:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE I:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Software Update] I:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] I:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "J:\Utilidades\MSN Plus! 3.61\MsgPlus.exe"
O4 - HKLM\..\Run: [QuickTime Task] "J:\Utilidades\QuickTime 7.0.2\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] "J:\Utilidades\CyberLink PowerDVD 6 Deluxe\PDVDServ.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] J:\Utilidades\Winamp Pro 5.09\winampa.exe
O4 - HKLM\..\Run: [APVXDWIN] "J:\Utilidades\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [obqwsvf.dll] I:\WINDOWS\system32\rundll32.exe I:\WINDOWS\system32\obqwsvf.dll,uohesrc
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] J:\UTILID~1\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [Mini20] "J:\Utilidades\Mini20\Mini20.exe"
O4 - HKCU\..\Run: [MSMSGS] "I:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Global Startup: HP Digital Imaging Monitor.lnk = I:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = J:\Utilidades\Office XP\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://J:\UTILID~1\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: i:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: i:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: i:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: i:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: i:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: i:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: i:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: i:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: i:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: i:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: i:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: i:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: i:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: i:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: i:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: i:\windows\system32\nvappfilter.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - I:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - I:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: avldr - I:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: wingdm32 - I:\WINDOWS\SYSTEM32\wingdm32.dll
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - I:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - J:\Utilidades\Matlab7\webserver\bin\win32\matlabserver.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - I:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - I:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - I:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - J:\Utilidades\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - J:\Utilidades\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
O23 - Service: Pml Driver HPZ12 - HP - I:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - j:\utilidades\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - J:\Utilidades\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - J:\Utilidades\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe

[msc hotline sat]

Podías decir donde lo detectaban ...

Enviar muestras de:
I:\WINDOWS\system32\ixueqfd.dll
I:\WINDOWS\system32\obqwsvf.dll
I:\WINDOWS\SYSTEM32\avldr.dll
I:\WINDOWS\SYSTEM32\wingdm32.dll
J:\Utilidades\Mini20\Mini20.exe

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y así podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

saludos
ms. 23-10-2006

[Annatar]

el mini20 es un programa de noticias, es el 20 minutos. lo agrego también?

Perdón la dirección del virus es: I:\WINDOWS\system32\wingdm32.dll

Gracias

[msc hotline sat]

Pues si conoces a este MINI20.exe ya no hace falta que lo envies.

Envianos las demas, incluida la que detectas virus, claro (wingdm32.dll) para lo cual desactiva el antivirus, empaquetalas en un ZIP con password VIRUS u nos las podrñas enviar sin que nadie te las intercepte.

saludos
ms, 23-10-2006

[Annatar]

enviado todas esas muestras.



Gracias, espero su respuesta.

[msc hotline sat]

Al recibirlas el antivirus de McAfee salta identificando el Backdoor CVT

Se implementan en el ELISTARA de hoy

saludos
ms, 23-10-2006
231006ES

[Annatar]

De acuerdo, muchísimas gracias por su ayuda.

[msc hotline sat]

Solo añadir que otras de sus muestras son Bongler o Busky, que tambien se detectarán con la misma version y utilidad



A partir de las 19 h de hoy está previsto subirlas a esta web para evaluacion



saludos



ms, 23-10-2006

[msc hotline sat]

Disponible la nueva versión del ELISTARA

saludos
ms, 23-10-2006

[Annatar]

Muchisimas gracias por su dedicación y enhorabuena por el foro. Diria que es el mejor que he conocido en internet.



Gracias

[msc hotline sat]

Gracias por sus palabras

En cuanto haya probado el ELISTARA, posteenos el infosat.txt, gracias

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos
ms, 24-10-2006

[Annatar]

El virus se encuentra alojado en estas 2 direcciones de mi ordenador:
I:\System Volume Information\_restore{636276D4-453A-427A-BC42-C91019966735}\RP110\A0094398.dll Infected: Trojan.Win32.Agent.aae
I:\System Volume Information\_restore{636276D4-453A-427A-BC42-C91019966735}\RP110\A0094432.dll Infected: Trojan.Win32.Agent.aae

Tengo un problema, no me sale el fichero infosat.txt en la dirección que me indica. Tuve que reiniciar el ordenador 2 veces porque el panda me bloqueaba el elistara. Puede ser por eso? Lo he buscado el fichero por todo el ordenador con la función de búsqueda y no sale.

Los virus se han quitado y se han albergado en esas 2 direcciones anteriores.

Que puedo hacer para encontrar el infosat o quitar esos 2 virus de la carpeta restore?+

Gracias por todo

[msc hotline sat]

El infosat se graba en la raiz del disco C:
Pero si lo que quiere es eliminar estos ficheros, simplemente desactive la restairacion de sistema y asi podrña acceder a la carpeta del restore (I:\System Volume Information\_restore) y eliminarlo.

Hagalo en modo seguro, para que no le incordie el Panda:

saludos
ms, 24-10-2006

Nota, o simplemente desactive dicho antivirus o arrancando en modo seguro lance el ELISTARA y asi no le incordiará