Trojan-Proxy.Win32.Horst.pp (SOLUCIONADO)

oneil · Mensaje por **oneil** » 29 Nov 2006, 18:19

Hola!!!

Tengo un problemilla con un troyano, os cuento, tengo el kaspersky instalado, este me avisa de dor troyanos que casualmente estan en la carpestas compartidas de mi LAN. Los borra y al rato vuelve a avisar de que los ha detectado y eliminado. Dice que esos archvos (setup.exe) contienen un Troyano llamado Trojan-Proxy.Win32.Horst.pp.

Lo borro y lo borro pero vuelven a aparecer, ya no se que hacer, asi que buscando por el google que podria hacer me apreció esta pagina, a ver si me podeis echar una manilla.

Os pongo el hijackthis.log

Logfile of HijackThis v1.99.1

Scan saved at 17:06:38, on 29/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\MATLAB7\webserver\bin\win32\matlabserver.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\apache\APACHE.EXE

C:\WINDOWS\system32\HPZipm12.exe

c:\apache\APACHE.EXE

C:\WINDOWS\system32\slserv.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\apps\ABoard\ABoard.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\apps\ABoard\AOSD.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Skype\Phone\Skype.exe

C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\OpenOffice.org 2.0\program\soffice.exe

C:\Archivos de programa\OpenOffice.org 2.0\program\soffice.BIN

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqgalry.exe

C:\Archivos de programa\lphant\eLePhantClient.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Sergio\CONFIG~1\Temp\Rar$EX00.469\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\ARCHIV~1\FlashFXP\IEFlash.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [kis] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Archivos de programa\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe

O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{39B6FAD8-3E99-4D3E-B0CC-040EF33A0BD9}: NameServer = 62.36.225.150 62.37.228.20

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB7\webserver\bin\win32\matlabserver.exe

O23 - Service: PHPGeekUtil - Unknown owner - c:\apache\APACHE.EXE" --ntservice (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Gracias de Antemano

Mensaje por **msc hotline sat** » 29 Nov 2006, 19:08

El Backdoor CMQ es un troyano del que conocemos unas 140 variantes ya controladas por el ELISTARA, y cada dia mas.

Una vez llegado a una maquina por instrusion por cualquier agujero mo parcheado, se propaga por la red copiando el SETUP.EXE, cuya ejecucion crea los gusanos del Backdoor indicado

Claro que eliminais el SETUP, pero si no lo haceis de todos los ordenadores en red...

Probar el ELISTARA que si no lo controla y elimina, pedira muestras poara controlarlo:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 29-11-2006

nota: y eliminar el troyano de todos klos ordenadores desconectados de la red t no volberlos a conectar hjasra que esten todos limpios y parcheados !!!

oneil · Mensaje por **oneil** » 30 Nov 2006, 01:21

Hola!!!!

Gracias por contestar. He pasado el ELISTARA

oneil · Mensaje por **oneil** » 30 Nov 2006, 01:24

No se que ha pasado con el mensje anterior, weno continuo por aqui, como decia he pasado el Elistara y ha borrado cuatro archivos, el fichero que me decias que puesiera contiene lo siguiente:

Thu Nov 30 00:05:18 2006

EliStartPage v12.82 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Thu Nov 30 00:07:42 2006

EliStartPage v12.82 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\OpenOffice.org 2.0\program\CANVASFACTORY.UNO.DLL --> Eliminado, SaveNow

C:\MATLAB7\sys\lcc\bin\OLD.PEDUMP.EXE --> Eliminado, DownLoader.Vixup

C:\MATLAB7\toolbox\rtw\rtwdemos\rsimdemos\rsim_gui\pcwin\RSIM_GUI.EXE --> Eliminado, DownLoader.Vixup

C:\WINDOWS\$NtServicePackUninstall$\RUNDLL32.EXE --> Eliminado, Malware.RPCC

Con ese programa se ha quitado???

Y Por otro lado, tengo una duda, que no se si te he entendido bien, dices que es posible que el troyano este en otro ordenador de mi red y me ha copiado el fichero setup.exe.???

Gracias de nuevo, espero respuesta

oneil · Mensaje por **oneil** » 30 Nov 2006, 15:10

Hola soy yo de nuevo.

Hice lo que me dijiste como puse antes, pero no me ha solucionado el problema siguo teniendo el setup.exe en las carpetas conpartidas.

No se que hacer!!!!!

Mensaje por **msc hotline sat** » 30 Nov 2006, 15:18

Si estas en red, desconecta el cable, prueba el ELITRIIP, con el cable de red desconectado reinicias y mira si se regenera el SETUP.EXE y nos lo cuentas.

Si no se regenera, haz lo mismo en las otras maquinas, SIN RED !!!

Y solo cuando esten todas limpias, las conectas a la RED.

Una sola infectada te volverá a infectar el resto.

Una manzana podrida...

saludos

ms, 30-11-2006

Y mira el infosat.txt no sea que te pida que envies muestra y no lo hayas hecho ...

POSTEANOS SU CONTENIDO ANTES DE HACER TODO LO ANTERIOR, GRACIAS ms.

oneil · Mensaje por **oneil** » 01 Dic 2006, 00:35

Hola he hecho lo que dices en las demas maquinas y nada me sigue creando el SETUP.EXE y el caso es que los ordenadores de mi red local estan todos limpios, es decir el SETUP.EXE solo se copia en las carpetas compartidas de mi equipo no en las de los equipos de la red local.

Alguna otra idea de lo que ocurre??? Estoy ya desesperado porque no se que hacer y tampoco quiero que el resto de equipos se infecten tambien, quizas tenga que formatear el ordenador no se. Espero que me podais dar una solucion.

Gracias!!!!

Mensaje por **msc hotline sat** » 01 Dic 2006, 08:41

Bueno, si estas seguro de ello, apuntaremos a otra hipotesis, pues apoyandonos solo en el nombre puede ser cualquier otra cosa...

Por si hubiera un Rootkit que nos ocultara ficheros y procesos, arranque en modo seguro y lance el HJT y luego arranca normal y nos envía el log, a ver si hay algo mas...

saludos

ms, 1-12-2006

oneil · Mensaje por **oneil** » 02 Dic 2006, 14:58

Hola de nuevo, ayer passe de nuevo el elistara y el eliitrip, ya deijiste si estaba seguro, digo bueno voy a hacer la operacio otra vez vaya a ser que haga algo mal.

Y de momento el Setup.exe no me aparece, de todas formas si vuelve a aparecer hare lo del arranque en modo seguro, gracias y esperemos que se haya solucionado.

Saludos

Mensaje por **msc hotline sat** » 02 Dic 2006, 15:01

amen :lol:

y dando por solucionado el Tema, procedemos a cerrarlo

saludos

ms, 2-12-2006