Win32/cutwail.C

Sergio Miami · Mensaje por **Sergio Miami** » 26 Feb 2007, 17:22

Cada vez que reinicio la computadora , el antivirus CA 2007 , borra un ejecutable svchost.exe que esta en el c:\windows\temp

diciendo que tiene el Win32/Cutwail.C , alguien sabe cual es el dll que genera este svchost o las instrucciones para eliminarlo.

Muchas gracias por su ayuda.

Sergio Miami

Mensaje por **msc hotline sat** » 26 Feb 2007, 17:23

Pues envianos muestra de este fichero para analizarlo y controlarlo:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

sobre lo que es, aqui tienes la informacion:

http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453100421

mas informacion de symantec:

http://www.sarc.com/avcenter/venc/data/backdoor.shellbot.html

saludos

ms, 26-02-2007

nota : Al tratarse de un backdoor, en cuanto recibamos la muestra. implementaremos su control yb eliminaicon en la proxima verison del ELITRIIP.

Sergio Miami · Mensaje por **Sergio Miami** » 26 Feb 2007, 17:55

Voy a probar las tecnicas de removido de Ca y Symantec.

Y les dejo saber el resultado.

Muchas Gracias por la info.

Sergio Miami

Mensaje por **msc hotline sat** » 26 Feb 2007, 18:13

Pero no te olvides de enviarnos la muestra, y no te preocupes por la eliminacion de claves y restos, ya lo haran nuestras utilidades, como siempre.

saludos

ms, 26-02-2007

Sergio Miami · Mensaje por **Sergio Miami** » 26 Feb 2007, 20:06

Ok, esta noche dado que ahora no estoy en la compu infectada.

Mensaje por **msc hotline sat** » 26 Feb 2007, 20:16

Tranqui que hsta mañana no volvemos a SATINFO, que de noche no trabajamos, todavía ... :roll:

Bueno, un poco temprano si, a eso de las 4 AM, pero dormimos antes un rato :lol:

saludos

ms, 26-02-2007

Sergio Miami · Mensaje por **Sergio Miami** » 27 Feb 2007, 16:20

Despues de bajar el hjt y correrlo el win32/cutwait infecto el winlogon.exe , haciendo que la compu se rebooteara cada despues de enseñar el windows xp logo. La unica manera de restaurar el winlogon.exe fue renombradolo y copiando uno limpio de servicepack\i386. Despues de eso corriendo un scan , encontro ese trojan en el winlogon.exe renombrado y en un dll wsys.dll asociado al winlogon.exe infectado.

Les estoy mandando el log del hjt para que lo estudien, dado que tiene que haber otro dll oculto , ya que a veces recibo el mensaje del CA antivirus que encontro el svchost.exe en windows\temp infectado con el WIN32/cutwail.C or WIN32/cutwail!generic.

Las instrucciones de Symantec y CA no sirvieron dado que ninguna de esos dll o modificaciones de registro estaban presentes en la compu.

Seguiremos luchando

Mensaje por **msc hotline sat** » 27 Feb 2007, 16:25

Y donde está el log del HJT ???

No lo vayas a enviar por mail !!! Solo las muestras se envian para analizar, los logs de analizan en el foro

Postealo con un copiar y pegar del contenido del log en un post de respuesta a este Tema, gracias

saludos

ms, 27-02-2007

Sergio Miami · Mensaje por **Sergio Miami** » 27 Feb 2007, 16:28

Lo lamento lo mande por mail como decian las instrucciones que me enviaron. Aca se los mando en el texto.

ogfile of HijackThis v1.99.1

Scan saved at 11:20:25 PM, on 2/26/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\User\Desktop\hjt\hijackthis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe

O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe

O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl04a\BrStDvPt.exe

O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [cctray] "C:\Program Files\CA\CA Internet Security Suite\cctray\cctray.exe"

O4 - HKLM\..\Run: [CAVRID] "C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Aim6] "C:\Program Files\AIM6\aim6.exe" /d locale=en-US ee://aol/imApp

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Status Monitor.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2D72C39D-53F6-4AEA-A9DB-1298429DA974} (3DVista Viewer Control) - http://www.3dvista.com/downloads/viewer3dv.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1162986384937

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1162986373531

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\ISafe.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: VET Message Service (VETMSGNT) - CA, Inc. - C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe

O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Program Files\Viewpoint\Common\ViewpointService.exe

Mensaje por **msc hotline sat** » 27 Feb 2007, 16:36

Donde se lo decimoa, para cambiarlo ??? : "como decian las instrucciones que me enviaron" ...

Pues de este log, puede eliminar esta clave:

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\

recuerde: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

En cambio no nos consta haber recibido la muestra solicitada...

deciamos:

"Pero no te olvides de enviarnos la muestra"

A las muestras nos referimos cuando hablamos de enviarlas por mail segun las indicaciones del link, pero con su referencia no ha entrado. Revise su envio, gracias

saludos

ms, 27-02-2007

Sergio Miami · Mensaje por **Sergio Miami** » 27 Feb 2007, 17:29

Perdonenme , no entendi bien las instrucciones.

Pienso que esa entrada 020 donde dice Winlogon Notify: Navlogon es de una instalacion de symantec antivirus anterior.

Piensan que esa entrada es la causante de la infeccion del Win32/Cutwail ?

Mensaje por **msc hotline sat** » 27 Feb 2007, 18:41

La clave es erronea y debe eliminarse, simplemente porque no es correcta.

y la malicia que pueda tener este virus lo veremos en la muestra que esperamos...

saludos

ms, 27-02-2007

Sergio Miami · Mensaje por **Sergio Miami** » 27 Feb 2007, 18:45

Esta noche voy a cambiar los settings de CA para que me ponga en svchost.exe en cuarentena y no lo borre, entonces si poder enviarselos a ustedes ..

Seguiremos Luchando

Mensaje por **msc hotline sat** » 27 Feb 2007, 19:24

Cuando tengamos la muestra procederemos en consecuencia

saludos

ms, 27-02-2007

Win32/cutwail.C

Win32/cutwail.C

Win32/cutwail.c

win32/cutwail.c

win32/cutwail.c

Win32/Cutwail.C

Win32/cutwail.c