Virus Emerleox.AH

Manuel Bernuy · Mensaje por **Manuel Bernuy** » 13 Abr 2007, 19:39

Hola nuevamente, cuando conecte mi USB a mi pc salio un mensaje del antivirus ( yo utilizo el CA etrust antivirus ) ~~[b]~~Infeccion de archivo: G:\ Autorun.inf es INF/Emerleox.AH Troyano. eliminado[/b] pero luego vuelve a salir el mismo mensaje ~~[b]~~Infeccion de archivo:G:\ Autorun.inf es INF/Emerleox.AH Troyano.[/b] en el registro de del explorador en tiempo real este mensaje se repite como 5 veces despues de haber sido eliminado por lo que asumo que la maquina esta infectada, estoy buscando informacion sobre este virus pero no encuentro nada Alguien sabe como determinar si mi maquina esta infectada y que antivirus tiene la cura, al momento ningun antivirus tiene registro sobre este virus (al menos con ese nombre).

Saludos

Nuker · Mensaje por **Nuker** » 13 Abr 2007, 19:41

Posteanos tu log de HijackThis para ver si quedaran claves viricas, lo lanzas en Modo Normal. Abres le das en scan and save log file, copias contenido del bloc y lo pegas aqui.

HijackThis:

http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

Manuel Bernuy · Mensaje por **Manuel Bernuy** » 13 Abr 2007, 20:26

Ya corri el Hijackthis y adjunto el file de registro, ojala lo puedan ver.....

Saludos

Nuker · Mensaje por **Nuker** » 13 Abr 2007, 20:30

De favor le pedimos que copie y pegue el log, no adjuntar ya que se pierde estructura al leerlo. Gracias

Manuel Bernuy · Mensaje por **Manuel Bernuy** » 14 Abr 2007, 01:50

Bueno les mando el log

Logfile of HijackThis v1.99.1

Scan saved at 12:21:08 p.m., on 13/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\CA\eTrust Antivirus\InoRpc.exe

C:\Archivos de programa\CA\eTrust Antivirus\InoRT.exe

C:\Archivos de programa\CA\eTrust Antivirus\InoTask.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\ARCHIV~1\CA\ETRUST~1\realmon.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Ares\Ares.exe

C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [Realtime Monitor] C:\ARCHIV~1\CA\ETRUST~1\realmon.exe -s

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [BitTorrent] "C:\Archivos de programa\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-xl\msntabres.dll.mui/229?d6f5ce7c29a440bc8fbca201cd88c5ca

O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-xl\msntabres.dll.mui/230?d6f5ce7c29a440bc8fbca201cd88c5ca

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{EB586EC6-3A15-4E07-BB10-17E510CDDDC1}: NameServer = 200.48.225.130,200.48.225.146

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Antivirus\InoRpc.exe

O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Antivirus\InoRT.exe

O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Antivirus\InoTask.exe

Saludos

Nuker · Mensaje por **Nuker** » 14 Abr 2007, 03:58

Pues no se ve nada virico en su log, pruebe Elitriip para ver si hubiera restos, lo pasa en Modo Seguro, al terminar le creara un log en unidad C, con le nombre de infoSat.txt copia contenido y pega aqui para ver resultado de eliminacion.

Elitriip:

http://www.zonavirus.com/descargas/elitriip.asp

Saludos.

[u]Atendido a las 8:05 p.m. (Hora México) 13/04/07[/u]

Mensaje por **msc hotline sat** » 14 Abr 2007, 08:44

Pues esta es la informacion al respecto que he encontrado mas extensa:

[quote]
Troj/Joex

Joex es un troyano residente en memoria reportado el 04 de Agosto del 2005, que ingresa furtivamente a los sistemas a través de cualquier servicio de Internet con un archivo de nombre Svohost.exe, se copia a las carpetas %System% y directorio %Windir%.

Este archivo actúa como "dropper" liberando 2 archivos adicionales.

Modifica la configuración de la página de acceso del Internet Explorer, deshabilita el Administrador de barra de Tareas. Impide la restauración de la configuración del Internet Explorer y se activa cada vez que se abre un archivo de texto.

Intenta descargar un archivo desde un portal chino (actualmente deshabilitado).

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con una extensión de 21 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ser ingresar a un sistema se copia a la carpeta %System% y directorio %Windir% con los nombres:

%Windir%\Svohost.exe

%System%\commamd.exe

%System%\lsasa.exe

para ejecutarse la próxima vez que se re-inicie el sistema modifica las siguientes llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

"ctfnom.exe" = "%Windir%\Svohost.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell" = "%System%\Explorer.exe commamd.exe"

para activarse cada vez que se ejecuta un archivo de texto modifica el valor de la llave:

[HKEY_CLASSES_ROOT\txtfile\shell\open]

"command" = "%System%\lsasa.exe "%1""

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Al siguiente inicio del sistema el troyano se activa en memoria y cambia la configuración de acceso del Internet Explorer, direccionándolo a un portal chino:

http://www.joyiex.com/[carpeta_removida]

para deshabilitar el Administrador de Tareas agrega el valor:

"DisableTaskMgr" = "1"

a la sub-llave:

HKEY_CURRENT_USER\Software\Policies\Internet Explorer\ControlPanel

para impedir que se cambie la configuración de acceso del Internet Explorer agrega el valor:

"HomePage" = "1"

a la sub-llave:

HKEY_CURRENT_USER\Software\Policies\Internet Explorer\ControlPanel

el troyano intenta descargar un Script con código maligno desde:

http://www.joiex.com/[carpeta_removida]/upgrade.txt

[/quote]

Mire si encuentra alguno de estos ficheros y nos lo envia:

%Windir%\Svohost.exe

%System%\commamd.exe

%System%\lsasa.exe

recuerde: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y por lo que indica del autorun.inf, es posible que se trate de una variante que quiera propagarse por unidades de memoria USB, revise con el ELITRIIP dichas unidades en busca de un AUTORUN.INF...

y nos comenta el reultado, gracias

saludos

ms, 14-04-2007