Trojan-Proxy.Win32.Horst.np detectado (SOLUCIONADO)

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Cerrado
Sanjuro
Mensajes: 2
Registrado: 21 Nov 2006, 15:42

Trojan-Proxy.Win32.Horst.np detectado (SOLUCIONADO)

Mensaje por Sanjuro » 21 Nov 2006, 15:48

Hola, mi antivirus ha detectado en un archivo el troyanoTrojan-Proxy.Win32.Horst.np, le he pasado primero una aplicación llamada SDFix con el siguiente report:



SDFix: Version 1.42

-------------------



Scan run on:

20/11/2006



Time:

15:18



Microsoft Windows XP [Versi¢n 5.1.2600]



Running from: C:\SDFix



Stage One...



Checking Services...



Name:

-----



Path:

----





Repairing Registry...





Restoring Default Hosts File...



Stage One Complete



Rebooting...



Stage Two...



Checking For Malware:

--------------------



C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\13exmodul32e.p.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\39exmodul32e.p.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\41exssd32.n.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\51exhdd.k.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\6exhdd.k.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\73exssd32.n.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\77exmodul32e.p.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\92exhdd.k.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\setup.exe

C:\WINDOWS\system\smss.exe



Backing Up and Removing any Files Found...



Final Check:



Services:

---------





Files:

------





Backups folder is located here - C:\SDFix\backups\backups.zip



FINISHED





Después he pasado el SpyBot y no ha encontrado ningún problema pero no estoy seguro de haber solucionado el problema del todo, les pego el log del HiJackThis para ver si encuentran algún problema.



Logfile of HijackThis v1.99.1

Scan saved at 15:51:27, on 20/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe

C:\BHROOT\BIN\NT611SVC.EXE

C:\BHROOT\BIN\monitor.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\BHROOT\BIN\PORTMAP.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\BHROOT\BIN\DBMANG.EXE

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\ARCHIV~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe

C:\Documents and Settings\Administrador\Escritorio\S2kCtl.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"

O4 - HKLM\..\Run: [AVPCC] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Nero PhotoShow Media Manager] C:\ARCHIV~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe

O4 - Global Startup: Acceso directo (2) a S2kCtl.exe.lnk = C:\Documents and Settings\Administrador\Escritorio\S2kCtl.exe

O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Archivos de programa\MP3 Player Utilities 4.00\AMVConverter\grab.html

O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Archivos de programa\MP3 Player Utilities 4.00\MediaManager\grab.html

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://dianavv.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab

O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab

O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://locator1.cdn.imagesrvr.com/sites/errorsafe.com/www/pages/scanner_es/ErrorSafeScannerInstall_es.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{FE2FDFFF-EA81-4608-9789-262CFEC7F824}: NameServer = 62.14.63.145,62.14.2.1

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)

O23 - Service: bh611 - Bell& Howell - C:\BHROOT\BIN\NT611SVC.EXE

O23 - Service: Bell & Howell Monitor Service (BHMonitorService) - Bell & Howell - C:\BHROOT\BIN\monitor.exe

O23 - Service: Bell & Howell Database Manager (dbmang) - Bell & Howell - C:\BHROOT\BIN\DBMANG.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ONC/RPC Portmapper (portmapper) - Bell & Howell - C:\BHROOT\BIN\PORTMAP.EXE

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe



Gracias de antemano.
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 21 Nov 2006, 18:00

Ha costado lo suyo !



Este DPF (ELIMINE DICHA CLAVE)



http://locator1.cdn.imagesrvr.com/sites/errorsafe.com/www/pages/scanner_es/Error SafeScannerInstall_es.cab



descarga este troyano


[quote]
ESTADO: ANALIZANDOSu archivo "ErrorSafeScannerInstall_es.cab" recibido el día 21.11.2006 a las 17:54:29 (CET) está siendo analizado por VirusTotal en estos momentos, los resultados se iran mostrando a continuación.



Antivirus Version Actualización Resultado

AntiVir 7.2.0.44 21.11.2006 no ha encontrado virus

Authentium 4.93.8 20.11.2006 no ha encontrado virus

Avast 4.7.892.0 20.11.2006 Win32:Winfixer-B

AVG 386 20.11.2006 Potentially harmful program WinFixer.P

BitDefender 7.2 21.11.2006 no ha encontrado virus

CAT-QuickHeal 8.00 21.11.2006 no ha encontrado virus

ClamAV devel-20060426 21.11.2006 no ha encontrado virus

DrWeb 4.33 21.11.2006 Trojan.DownLoader.6550

eSafe 7.0.14.0 20.11.2006 no ha encontrado virus

eTrust-InoculateIT 23.73.62 21.11.2006 Win32/SillyDl.AFX!Trojan

eTrust-Vet 30.3.3205 21.11.2006 Win32/SillyDl.AFX

Ewido 4.0 21.11.2006 Not-A-Virus.Downloader.Win32.WinFixer.d

Fortinet 2.82.0.0 21.11.2006 W32/WinFixer

F-Prot 3.16f 20.11.2006 no ha encontrado virus

F-Prot4 4.2.1.29 20.11.2006 no ha encontrado virus

Ikarus 0.2.65.0 21.11.2006 no ha encontrado virus

Kaspersky 4.0.2.24 21.11.2006 not-a-virus:Downloader.Win32.WinFixer.d

McAfee 4901 21.11.2006 no ha encontrado virus

Microsoft 1.1804 21.11.2006 no ha encontrado virus

NOD32v2 1875 21.11.2006 Win32/Adware.WinFixer

Norman 5.80.02 21.11.2006 W32/WinFixer.FX

Panda 9.0.0.4 21.11.2006 Application/ErrorSafe

Prevx1 V2 21.11.2006 Malware

Sophos 4.11.0 16.11.2006 ErrorSafe Downloader

TheHacker 6.0.3.122 21.11.2006 no ha encontrado virus





Información adicional

Tamaño archivo: 43493 bytes

MD5: 618c8b132588463f0c5542384f103027

SHA1: 2842a97cea62a118ca5c1256b16f010fabb37681
[/quote]



recuerde: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





Tras eliminarla y reiniciar, nos cuenta el resultado, gracias



saludos



ms, 21.11.2006
Arriba
Sanjuro
Mensajes: 2
Registrado: 21 Nov 2006, 15:42

Mensaje por Sanjuro » 21 Nov 2006, 20:20

Pues he hecho lo que me ha dicho y aparte que el icono de la unidad C ha cambiado de un disco duro a una especie de icono de instalación de un paquete no he encontrado nada raro... pero esto solo era el comienzo.



He empezado a hacer scans a ver si estaba limpio, he pasado el SpyBot y me han salido 4 entradas pero bueno, le he dado a fixed y no le he dado más importancia.



Luego he pasado el Ad-Aware y aquí han empezado los problemas, cuando ha llegado el scan a las deficiones del SpyBot se ha estado rato y rato, me ha aparecido un mensaje del Karpersky que había un virus llamado P2P.Virus o algo parecido, le he dado a desinfectar y se ha cerrado la ventana sin notificarme nada más, cosa que no es habitual, el Ad-Aware ha continuado hasta que Windows me ha indicado que el disco duro se estaba quedando sin espacio y efectivamente así era.



Le he pegado un reset puesto que ya no controlaba nada y parece que se ha normalizado un poco el sistema, he podido pasar el Ad-Aware y me han salido 4 entradas en el registro del troyano Win32.Trojan.Winfix o algo por el estilo, las he puesto en cuarentena y ahora mismo el sistema responde pero me jugaría algo que hay malware instalado.



De todas formas, gracias por su tiempo.
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 22 Nov 2006, 10:44

Se le pedia que nos comentara el resultado,m no que lo hiciera solo . !



La madre era el cab, que no era facil de detectar, solo unos pocos antivirus lo detectan, como se puede ver en el analisis del VirusTotal, luego los hijos con el ELISTARA y los hubieramos eliminado





En cualquier caso, si ya lo ha hecho con otros medios, damos por soluciuonado el Tema y procedemos a cerrarlo



saludos



ms, 22-11-2006
Arriba
Cerrado

Volver a “Foro HijackThis - copia y pega tu log”