BiFrost - SOLUCIONADO

[after1]

Queria saber si pueden ayudarme parece que mi pc fue infectada con el bifrost creo haberlo matado pero no estoy seguro, despues de pasarle el elitriip supuestamente se elimino igualmente me quedan dudas por que al iniciar el pc se agrega al inicio un programa llamado system32/power.exe que no se si tenga algo que ver bueno les pasa el log del elitrip y hjt para saber que tengo que hacer para que el gusano no vuelva a meterse:


Wed Mar 21 12:20:35 2007
EliTriIP v3.36 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\PLUGIN1.DAT --> Eliminado
C:\WINDOWS\SYSTEM32\SYSPR.PRX --> Eliminado

Wed Mar 21 12:20:52 2007
EliTriIP v3.36 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Wed Mar 21 12:30:46 2007
EliTriIP v3.36 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):

Wed Mar 21 12:30:47 2007
EliTriIP v3.36 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Wed Mar 21 15:29:14 2007
EliTriIP v3.36 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\PLUGIN1.DAT --> Eliminado
C:\WINDOWS\SYSTEM32\SYSPR.PRX --> Renombrado a .VIR

Wed Mar 21 15:31:27 2007
EliTriIP v3.36 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):






Logfile of HijackThis v1.99.1
Scan saved at 16:02:56, on 21/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\tsnp2std.exe
C:\WINDOWS\vsnp2std.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Ares\Ares.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\DOCUME~1\Usuario\CONFIG~1\Temp\Rar$EX00.047\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Outpost Firewall] C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Archivos de programa\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Barra de Outpost Firewall Pro  - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Archivos de programa\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - 
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - 
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - (no file)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Unknown owner - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE (file missing)
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe

gracias.

[msc hotline sat]

Pues envienos este "power.exe"



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



luego analizaré el log, ahora he de ir a trabajar !!!





saludos



ms, 22-03-2007

[msc hotline sat]

Unicamente cabe eliminar esta clave:



O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} -



recordar : https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 22-03-2007

[after1]

bueno he borrado la clave que me dijiste, y me olvidaba de algo tengo el avg antivirus y al hacer el scan me detecta (sin efectuar desinfeccion) textual: nostkrnl change windows/system32/nostkrnl.exe y no se que es, en cuanto al "power.exe" quisiera saber como adjuntarlo al mail para enviarselos. Perdon por la inexperiencia

[msc hotline sat]

Pues aparte del "POWER.EXE" , envianos tambien el "windows/system32/nostkrnl.exe " que por lo visto ha cambiado ???





recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y tras analizarlos, informaremos





saludos





ms, 22-03-2007

[after1]

procedi al envio de muestras de power.exe y ntoskrnl.exe para que verifiquen. No creo que power.exe haya cambiado sino que me parece que ntoskernel estaba antes en mi pc. Saludos

[msc hotline sat]

Pues mañana cuando entremos a trabajar en SATINFO las analizaremos e informaremos



saludos



ms, 22-03-2007

[msc hotline sat]

En el NTOSKRNL.EXE no se detectan rutinas viricas, pero el POWER.EXE es una variante del Bifrose que pasamos a controlar con el ELITRIIP de hoy 3.38



saludos



ms, 23-03-2007

[after1]

quisiera saber como actualizo el elitriip (tengo el 3.36) donde lo bajo y tambien como hago para que el power.exe no vuelva aparacerme por que cada vez que inicio este vuelve a meterse

[msc hotline sat]

Hoy estamos haciendo la 3.38 del ELITRIIP (entre otras, claro) y esta tarde a partir de las 20 h GMT pidrá probarla descargandola de donde siempre:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp





Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 23-03-2007



por cierto, de momento la ejecucion habrá de hacerla arrancando en modo seguro, si no encontramos nada nuevo...

[after1]

Bueno pase el elitriip en modo seguro y no ha encontrado nada. Lo ultimo que quisiera preguntar es si hay una manera de evitar que el power.exe se meta cada vez que incio la pc, gracias al residente del spybot que me avisa de dicho programa puedo eliminarlo pero quisiera saber si hay forma de que esto no pase mas. Estoy muy agradecido por su ayuda me fue de gran utilidad sigan asi. Saludos

[msc hotline sat]

Muy raro que si estaba haya desaparecido...



Posteanos el contenido del C:\infosat.txt para ver cual fué el proceso, ya que esta tuya es una variante nueva...



Cuanto mas podamos ver, mas podremos evitar que vuelva a entrar



saludos



ms, 25-03-2007

[after1]

antes que nada les paso parte del log del residente spybot que como les contaba se encarga de eliminar el valor de registro power.exe o algo asi:





23/03/2007 15:50:14 Permitido value "startkey" (new data: "") eliminado in System Startup user entry!

23/03/2007 15:50:19 Denegado value "Outpost Firewall" (new data: "C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice") cambiado in System Startup global entry!

23/03/2007 15:50:21 Permitido value "startkey" (new data: "") eliminado in System Startup global entry!

23/03/2007 15:50:25 Denegado value "Outpost Firewall" (new data: "C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice") cambiado in System Startup global entry!

23/03/2007 15:50:30 Permitido value "Outpost Firewall" (new data: "C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice") cambiado in System Startup global entry!

23/03/2007 18:08:20 Permitido value "startkey" (new data: "") eliminado in System Startup user entry!

23/03/2007 18:08:21 Permitido value "Outpost Firewall" (new data: "C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice") cambiado in System Startup global entry!

23/03/2007 18:08:24 Permitido value "startkey" (new data: "") eliminado in System Startup global entry!

23/03/2007 18:21:58 Permitido value "startkey" (new data: "") eliminado in System Startup user entry!

23/03/2007 18:22:00 Permitido value "Outpost Firewall" (new data: "C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice") cambiado in System Startup global entry!

23/03/2007 18:22:02 Permitido value "startkey" (new data: "") eliminado in System Startup global entry!

23/03/2007 18:28:59 Permitido value "startkey" (new data: "") eliminado in System Startup user entry!

23/03/2007 18:29:06 Permitido value "Outpost Firewall" (new data: "C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice") cambiado in System Startup global entry!

23/03/2007 18:29:07 Permitido value "startkey" (new data: "") eliminado in System Startup global entry!

23/03/2007 22:30:05 Permitido value "startkey" (new data: "") eliminado in System Startup user entry!

23/03/2007 22:30:07 Permitido value "Outpost Firewall" (new data: "C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice") cambiado in System Startup global entry!

23/03/2007 22:30:08 Permitido value "startkey" (new data: "") eliminado in System Startup global entry!

24/03/2007 8:33:43 Permitido value "startkey" (new data: "") eliminado in System Startup user entry!

24/03/2007 8:33:47 Permitido value "Outpost Firewall" (new data: "C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice") cambiado in System Startup global entry!

24/03/2007 8:33:50 Permitido value "startkey" (new data: "") eliminado in System Startup global entry!

24/03/2007 18:05:39 Permitido value "startkey" (new data: "") eliminado in System Startup user entry!

24/03/2007 18:05:43 Permitido value "Outpost Firewall" (new data: "C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice") cambiado in System Startup global entry!

24/03/2007 18:05:47 Permitido value "startkey" (new data: "") eliminado in System Startup global entry!

25/03/2007 9:20:42 Permitido value "startkey" (new data: "") eliminado in System Startup user entry!

25/03/2007 9:20:57 Permitido value "Outpost Firewall" (new data: "C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice") cambiado in System Startup global entry!

25/03/2007 9:20:59 Permitido value "startkey" (new data: "") eliminado in System Startup global entry!





y a continuacion el log de elitriip desde que aparecio este problema:

Wed Mar 21 12:20:35 2007

EliTriIP v3.36 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\PLUGIN1.DAT --> Eliminado

C:\WINDOWS\SYSTEM32\SYSPR.PRX --> Eliminado



Wed Mar 21 12:20:52 2007

EliTriIP v3.36 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Wed Mar 21 12:30:46 2007

EliTriIP v3.36 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Wed Mar 21 12:30:47 2007

EliTriIP v3.36 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Wed Mar 21 15:29:14 2007

EliTriIP v3.36 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\PLUGIN1.DAT --> Eliminado

C:\WINDOWS\SYSTEM32\SYSPR.PRX --> Renombrado a .VIR



Wed Mar 21 15:31:27 2007

EliTriIP v3.36 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SYSPR.PRX --> Eliminado



Wed Mar 21 15:31:35 2007

EliTriIP v3.36 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Thu Mar 22 17:21:40 2007

EliTriIP v3.36 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\PLUGIN1.DAT --> Eliminado

C:\WINDOWS\SYSTEM32\SYSPR.PRX --> Renombrado a .VIR

Entrada Eliminada [HKCU\...\Run] "startkey"="C:\WINDOWS\system32\power.exe"

Entrada Eliminada [HKLM\...\Run] "startkey"="C:\WINDOWS\system32\power.exe"



Thu Mar 22 17:57:32 2007

EliTriIP v3.36 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SYSPR.PRX --> Eliminado



Thu Mar 22 17:57:40 2007

EliTriIP v3.36 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.



Thu Mar 22 20:32:18 2007

EliTriIP v3.36 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Thu Mar 22 20:32:22 2007

EliTriIP v3.36 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.



Fri Mar 23 09:52:02 2007

EliStartPage v13.57 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Mar 23 09:57:51 2007

EliTriIP v3.37 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Mar 23 09:57:53 2007

EliTriIP v3.37 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Mar 23 15:36:38 2007

EliTriIP v3.38 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Mar 23 15:36:41 2007

EliTriIP v3.38 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Mar 25 11:10:18 2007

EliTriIP v3.38 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Sun Mar 25 11:10:22 2007

EliTriIP v3.38 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

[msc hotline sat]

Realmente este POWER.EXE no lo hemos visto nosotros, sino Vd:


[quote]me quedan dudas por que al iniciar el pc se agrega al inicio un programa llamado system32/power.exe [/quote]

quizas lo eliminó ya antes de que hicieramos nada, pues si ni lo encuentra ni lo hemos eliminado ahora...



Diganos si persiste alguna o si considera que se puede dar por solucionado el Tema, gracias



saludos



ms, 25-03-2007

[after1]

bueno creo que el problema esta solucionado me despido agradeciendo a la gente del foro que de no ser por ustedes ya habria tirado mi pc por la ventana (ja ja) muchas gracias por su ayuda y espero no volver a molestarlos.

[lucl]

no lo tires que si no le alegras el dia a alguno, nos alegramos pues y vuelve cuando quieras. saludos

[msc hotline sat]

[url=http://forum.telecharger.01net.com][img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]





Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 26-03-2007