Gusano que sustituye ejecutables?

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
Renegado
Mensajes: 4
Registrado: 01 Mar 2005, 20:50

Gusano que sustituye ejecutables?

Mensaje por Renegado » 09 Ene 2007, 08:35

Hola, feliz año a toda la gente del foro.



Quería consultaros de nuevo ya que desde la última vez que tuve que hacerlo llevo varios años sin problemas de virus ni malwares y vuelvo a estar un poco nervioso.



Resulta que esta noche estaba navegando por un foro que leo desde hace mucho tiempo (de confianza) cuando de repente me avisa el cortafuegos de que el navegador intenta conectarse mediante acción de un programa llamado ULOGIN125.EXE.



Intento buscarlo en todo el sistema (activando la busqueda en carpetas y archivos ocultos) y ni rastro del ejecutable. Paso el antivirus y los antispyware y no encuentran nada extraño.



Entonces me da por buscar los archivos con fecha de creación de este mismo día y para mi sorpresa me encuentro un monton de carpetas con el nombre "BAK" creadas en las carpetas de varias aplicaciones como MSN Messenger, Nero, AVG. Vamos, en todos los que estan en el registro de windows en RUN.

Dentro de estas carpetas están los ejecutables originales de los programas, mientras que en los directorios raíz hay archivos con su mismo nombre pero de 44 KB idénticos entre sí salvo por el nombre.



También un archivo en windows/system32/ llamado LSASSS.EXE que se ha metido en registro en RUN.



He borrado este archivo y su información del registro, y sustituido los ejecutables falsos por los originales. Pasando antivirus y el último ElistarA antes y después de hacerlo sin que siga sin encontrar nada.



He instalado los últimos parches de Windows XP que indicais en el postit del foro para prevenir más problemas... Me da que el bicho entró por alguna de los agujeros que corrigen las actualizaciones críticas, intentaré no ser tan dejado la próxima vez, aunque llevaba eso de medio mes sin tocar el PC así que no tenía ni idea :(



No hay ningún síntoma raro de momento, pero me gustaría saber qué bicho era el que entró y si con lo que hice mi PC está limpio de nuevo o tengo que pasarle alguna utilidad para borrar todo rastro del interfecto.



Saludos!
Arriba
Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:
Contactar lucl

Mensaje por lucl » 09 Ene 2007, 13:05

Hola renegado, mirate esto

https://foros.zonavirus.com/virus-que-genera-archivos-exe-con-el-mismo-nombre-folder-vt15589.html?highlight=elinuja





y prueba esta herramienta,luego peganos los resultados suerte y nos cuentas como te va.

http://www.zonavirus.com/datos/descargas/267/elinujaexe.asp
Arriba
Renegado
Mensajes: 4
Registrado: 01 Mar 2005, 20:50

Mensaje por Renegado » 09 Ene 2007, 14:23

Hola lucl gracias por contestar.

Pasé el programa que me indicas y no encontró nada, también pasé el Elitriip y tampoco encontró nada extraño :(



Pongo un log del hijackthis por si sirve de algo



C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Sygate\SPF\smc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Utils\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab50997.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab50997.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe
Arriba
Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:
Contactar lucl

Mensaje por lucl » 09 Ene 2007, 14:52

Hola renegado , pues igual es que ya estas limpio. Las actualizaciones criticas hacen muchisimo ya sabes, espera no obstante a que los que saben mas del hijackthis te digan si esta todo limpio y si es asi pues nada, presta atencion en los proximos dias por si acaso las dudas...saludos.
Arriba
Renegado
Mensajes: 4
Registrado: 01 Mar 2005, 20:50

Mensaje por Renegado » 25 Ene 2007, 07:11

Hola de nuevo.

Tras unas semanas sin ver nada raro en el PC, he descubierto una carpeta que se llama "xerox" en Archivos de Programa y con una subcarpeta llamada "nwia" dentro suyo (cabe destacar que no he instalado ninguna impresora en mi PC y menos de xerox) totalmente vacías.



El caso es que la carpeta no deja borrarse de modo normal ya que esta siendo usada por un programa. Usando la utilidad Unlocker de esta página conseguí desbloquearlo (el programa que la usaba era winlogon.exe, pero que según he visto es el legítimo de windows) y borrarla. Pero al reinciar el PC la carpeta volvía a estar ahí y sin poder eliminarse.



¿Alguno me podeis decir como solucionarlo?
Arriba
Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:
Contactar lucl

Mensaje por lucl » 25 Ene 2007, 09:18

Hola renegado, pasate el elistara que te pedira muestra y asi podremos saber que pasa, en modo seguro mejor.



http://www.zonavirus.com/descargas/elistara.asp



luego peganos el log que te crea en C:infosat.txt. saludos
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 25 Ene 2007, 10:45

Efectivamente, la aplicacion ULOGIN125.exe era un exploit segun se indica en:



http://spywarefiles.prevx.com/RRFGJB25672454/ULOGIN125.EXE.html



Pero se supone que los parches han evitado su intrusion...



Y sobre lo otro del NWIA no creo que el ELISTARA pida muestra de nada si es una carpeta utilizada por el WINLOGON.EXE que es del sistema.



Simplemente ignorelo si no produce ningun otro efecto.



De todas formas informenos del resultado del ELISTARA, gracias



saludos



ms, 25-01-2007
Arriba
Responder

Volver a “Foro Virus - Cuentanos tu problema”