Ayuda (Worm/NetSky.Q.2)

txus142 · Mensaje por **txus142** » 21 Dic 2006, 00:08

Aqui esta mi log

Os agradezco de antemano la ayuda

Logfile of HijackThis v1.99.1

Scan saved at 23:09:14, on 20/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe

C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\D-Tools\daemon.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\LXSUPMON.EXE

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\Archivos de programa\SEC\Natural Color\NaturalColorLoad.exe

C:\Archivos de programa\The Bat!\thebat.exe

F:\eMule\emule.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Owner\Escritorio\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eresmas.com/i2r/login2?to=www.wanadoo.es&nack=www.wanadoo.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://busca.wanadoo.es/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: 62.81.237.170 auto.search.msn.com

O1 - Hosts: 62.81.237.170 beta.search.msn.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\WINDOWS\iDialer\Wanadoo Turbo\pbhelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe

O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S0BIC1.EXE /A "C:\WINDOWS\system32\E_S6D.tmp"

O4 - HKCU\..\Run: [WhenUSave] "C:\Archivos de programa\Save\Save.exe"

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: NaturalColorLoad.lnk = ?

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127924493785

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{848F2DCC-EC9A-497B-B9DF-91F2FFDBD1AA}: NameServer = 62.81.0.33,62.81.16.129

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

Nuker · Mensaje por **Nuker** » 21 Dic 2006, 00:20

Para empezar elimina estas claves:

O1 - Hosts: 62.81.237.170 auto.search.msn.com

O1 - Hosts: 62.81.237.170 beta.search.msn.com

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

Y pasa esta herramienta:

ELINETSA:

http://www.zonavirus.com/datos/descargas/96/ELINETSA.asp

Pasa tu antivirus a ver si te lo detecta, y espera a que te digan si hay otro fichero irregular o muestras que enviar, yo me voy a EUA, felices vacaciones !!

Mensaje por **msc hotline sat** » 21 Dic 2006, 08:27

Pues no he sabido ver el Netsky indicado en el log del HJT, supongo que el AVAST lo habrá eliminado, pero en cambio veo:

O4 - HKCU\..\Run: [WhenUSave] "C:\Archivos de programa\Save\Save.exe"

que o la eliminas a mano o pruebas el ELISTARA:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 21-12-2006

txus142 · Mensaje por **txus142** » 21 Dic 2006, 19:47

Ante todo gracias de antemano por vuestro tiempo

Ya hice lo que comemtabais y no he encontrado nada aqui va el log de Infosat.txt

Thu Dec 21 17:58:37 2006

EliStartPage v12.94 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKCU\...\Run] "WhenUSave"=""C:\Archivos de programa\Save\Save.exe""

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Dec 21 17:59:37 2006

EliStartPage v12.94 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Bayes Filter Plugin\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Bayes Filter Plugin\UPDATE.EXE --> AutoExtraible

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar

C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

Thu Dec 21 18:03:55 2006

EliStartPage v12.94 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Bayes Filter Plugin\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Bayes Filter Plugin\UPDATE.EXE --> AutoExtraible

C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

Mensaje por **msc hotline sat** » 21 Dic 2006, 19:56

Pues debe tratarse de otra variante, tya que desde el mes pasado el ELISTARA controlaba un save.exe gusano del SaveNow:

ELISTARA

---v12.67-( 8 de Noviembre del 2006) (Muestras de (2)Puper "ISNOTIFY.EXE y IXT0.DLL", BackDoor-CVT "WIN***32.DLL", Vundo(notify) "MFCTAPI.DLL", FakeAlert "XPLNJRDPTZ.EXE" y SaveNow "SAVE.EXE")

CVonsecuentementem envianos este SAVE.EXE para analizarlo y controlarlo:

"C:\Archivos de programa\Save\Save.exe"

recuerda: https://foros.zonavirus.com/viewtopic.php?f=5&t=45334

saludos

ms, 21-12-2006