Backdoor.cmq y variante midificada de win32/medbot.

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
Chanel
Mensajes: 19
Registrado: 25 Ago 2006, 00:38

Backdoor.cmq y variante midificada de win32/medbot.

Mensaje por Chanel » 21 Nov 2006, 20:12

Hola, bueno aqui estoy de nuevo a daros un poco la lata, como ya se lo qeu me vais a pedir os lo pongo directamante, tanto el resultado del hijackthis, como el infosat que dejan el elistara y el elitriip, deciros qeu las muestras qeu pide, ya os las he mandado, pero aun asi.... no hay forma de eliminar ninguna de las dos cosas, se vuelve a reproducir al cabo de un par de dias.



Logfile of HijackThis v1.99.1

Scan saved at 19:42:25, on 21/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ondasdeltiempo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: A2NPopUpKiller Class - {8A321C7D-9CED-45A8-870D-DAE843A45FD0} - C:\Archivos de programa\Armor2net\Armor2net Personal Firewall\PopUpKiller.dll

O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Archivos de programa\TGTSoft\StyleXP\TGT_BHO.dll

O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Armor2net] C:\Archivos de programa\Armor2net\Armor2net Personal Firewall\Armor2net.exe

O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\ARCHIV~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"

O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Archivos de programa\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [STYLEXP] C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\archivos de programa\armor2net\armor2net personal firewall\netdog.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\armor2net\armor2net personal firewall\netdog.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\armor2net\armor2net personal firewall\netdog.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\armor2net\armor2net personal firewall\netdog.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\armor2net\armor2net personal firewall\netdog.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {39D420B3-E0EB-424C-89AA-C24F8DE7EF79} (KooPlayer Control) - http://www.euchannels.net/update/KooPlayer.ocx

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1163272344484

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: winghy32 - winghy32.dll (file missing)

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Archivos de programa\Firebird\Firebird_1_5\bin\fbguard.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Archivos de programa\Firebird\Firebird_1_5\bin\fbserver.exe

O23 - Service: Icecast Media Server (Icecast) - Unknown owner - C:\Archivos de programa\Icecast2 Win32\icecastService.exe" "C:\Archivos de programa\Icecast2 Win32 (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PDAgent - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDAgent.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: StyleXPService - Unknown owner - C:\Archivos de programa\TGTSoft\StyleXP\StyleXPService.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe







Tue Nov 21 19:22:50 2006

EliTriIP v2.78 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SETUP.EXE.Muestra EliTriIP v2.78

a "virus@satinfo.es". Gracias.

C:\SETUP.EXE --> Eliminado

C:\AUTORUN.INF --> Eliminado



Tue Nov 21 19:50:20 2006

EliStartPage v12.76 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Nov 21 19:51:07 2006

EliStartPage v12.76 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\MensajeriaWeb\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Quintessential Player\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\SpacialAudio\SAMBC\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Sun\StarOffice 8\program\SOA-13.01.00-BIN-WINDOWS-MULTI.EXE --> AutoExtraible

C:\Documents and Settings\pc\Mis documentos\Descargas\addons mirc\IRCAP-821.EXE --> AutoExtraible

C:\Documents and Settings\pc\Mis documentos\emule\Incoming\sam broadcaster\SAMBC-UP.EXE --> AutoExtraible

C:\Documents and Settings\pc\Mis documentos\Nueva carpeta\6-9_XP-2K_DD_CCC_WDM_ENU_35774.EXE --> AutoExtraible



Bueno ahi lo teneis, espero que me digais como puedo cargarme esto de una vez y que no se reproduzca mas.



Gracias por anticipado
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 22 Nov 2006, 07:49

Por favor, envienos una muestra del fichero

C:\Muestras\SETUP.EXE.Muestra EliTriIP v2.78





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
Arriba
Chanel
Mensajes: 19
Registrado: 25 Ago 2006, 00:38

Mensaje por Chanel » 22 Nov 2006, 14:14

Ya os lo envie, espero vuestra respuesta.



Gracias
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 22 Nov 2006, 16:09

No se ha recibido nada con tu referencia, Revisa el envio y hazlo de nuevo



recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 22-11-2006
Arriba
Chanel
Mensajes: 19
Registrado: 25 Ago 2006, 00:38

Mensaje por Chanel » 23 Nov 2006, 20:37

Bueno os lo acabo demandar otra vez, espero que esta vez os llegue.

Un saludo, Maria
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 23 Nov 2006, 20:50

Mañana cuando entremos a trabajar lo veremos e informaremos al respecto.



saludos



ms, 23-11-2006

241106MR
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 24 Nov 2006, 10:55

Examinada la muestra del SETUP.EXE resuilta ser un Backdoor.CMQ propagado por red, el cual al ser ejecutado en la maquina destino crearía el conocido smss.exe aparte del de sistema



Se pasa a controlar con la version del ELITRIIP.EXE de hoy (esta tarde estará listo y subido a esta web para evaluacion)



saludos



ms, 24-11-2006
Última edición por msc hotline sat el 24 Nov 2006, 11:51, editado 1 vez en total.
Arriba
Chanel
Mensajes: 19
Registrado: 25 Ago 2006, 00:38

Mensaje por Chanel » 24 Nov 2006, 11:48

ok, gracias, estare pendiente de la nueva version del elitriip
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 24 Nov 2006, 11:53

Será con la v 2.81 (y posteriores)



ms,
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 24 Nov 2006, 18:56

Ya disponible v 2.81 del ELITRIIP:



---v2.81---(24 de Noviembre del 2006) (Muestras de BackDoor.CMQ "SMSS.EXE" y Sdbot.worm.gen "SVCCHOST.EXE")



Pruebala y nos cuentas el resultado, gracias



saludos



ms, 24-11-2006
Arriba
Responder

Volver a “Foro Virus - Cuentanos tu problema”