se me pega el pc (SOLUCIONADO)

Mensaje por **msc hotline sat** » 20 Sep 2007, 18:15

Y el otro es un VUNDO 8 que pasamos a controlar con el ELISTARA de hoy 14.68, que subiremos a esta web a partir de las 19 h GMT, para pruebas de evaluacion en el foro de zonavirus

saludos

ms, 20-09-2007

petazo · Mensaje por **petazo** » 21 Sep 2007, 01:38

:o disculpa lo de los envios, fue un traspapeleo q no se volverá a emitir.

respecto del problema aki esta el log del elistara

Thu Sep 20 19:22:48 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Sep 20 19:22:59 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\POYMDDQU.DLL --> Eliminado, Vundo8

al parecer elimino definitivamente el problema, pero sugiero no cerrar el post hasta dentro de una semana, en donde yo dare si realmente dio resultados o se volvio a repetir algo del prblema.

gracias.. son lo mejor :)

petazo · Mensaje por **petazo** » 21 Sep 2007, 04:03

lamento decir esto, pero aun no se soluciona el problema por completo :(

nuevamente la pagina se abre.

es una pagina de un antivirus, q me dice q mi PC esta infectado y q si lo deseo comprar y cosas asi.

aki esta la pagina

http://www.winantiviruspro.com/pages/newcontent/?aid=ffnm_ku_wavffmcfe&affid=ffnm_67605_42F392205F6611DCB359F67605FDFFFF_D1B3F5DD297D44FBA1C8E3074FE29BC8&lid=virus+mc&rff=https://foros.zonavirus.com/buen-dia-raza-problema-de-virus-en-memcreo-vt21352.html

por si sirve de algo.

voy a pasar elistara denuevo, quizas hay algo duplicado o algo asi... tb postearé mi HJT denuevo...quizas hay algo por ahi.

petazo · Mensaje por **petazo** » 21 Sep 2007, 05:10

ya

aki ta el HJT

Logfile of HijackThis v1.99.1

Scan saved at 23:06:36, on 20-09-2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe

C:\Archivos de programa\sXe Injected\sXe Injected.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP4LAK.EXE

C:\ARCHIV~1\MI3AA1~1\rapimgr.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\CAP4RSK.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP4SWK.EXE

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Winamp\winamp.exe

C:\Documents and Settings\Usuario del equipo\Escritorio\para los spywares\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sXe Injected] C:\Archivos de programa\sXe Injected\sXe Injected.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [CMS_RSChecker] "C:\DOCUME~1\USUARI~1\CONFIG~1\Temp\Rar$EX00.031\Rapidshare Free Account Notifier v1.0\RS_FAN_1.0\RSFAN.exe" -m

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

O4 - Global Startup: Microsoft Find Fast.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

O4 - Global Startup: Ventana de estado de Canon LBP3200.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP4LAK.EXE

O8 - Extra context menu item: Download FLV video content with IDM - C:\Archivos de programa\Internet Download Manager\IEGetVL.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-CL/a-UNO1/GAME_UNO1.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

y el log de elistara y elitrip

Thu Sep 20 22:07:48 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Sep 20 22:08:00 2007

EliStartPage v14.68 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Thu Sep 20 22:31:16 2007

EliTriIP v3.90 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Thu Sep 20 22:31:17 2007

EliTriIP v3.90 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

ojala salga algo....

Mensaje por **msc hotline sat** » 21 Sep 2007, 05:17

Sí, claro, la pagina es la del win antivirus pro, que es a donde van varios de los FAKE ALERT, que desde el WAP 2005, luego el WAP 2006 y ahora el WAP 2007 vamos sufriendo.

Casi todos estan controlados, menos los que van saliendo cada día, no tyenemos la bola de cristal... :wink:

Bueno veo en el infosat que el último VUNDO se eliminó bien, voy a ver el log del HJT ...

Pues el log stá limpio, el bicho se esconde fuera de lo que se vé en él. Prueba el SPROCES, que llega mas a fondo:

SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

Y posteanos el contenido del C:\SPROCLOG.TXT :

saludos

ms, 21-09-2007

petazo · Mensaje por **petazo** » 21 Sep 2007, 07:26

creo q es esto lo q me piden

Fri Sep 21 01:29:14 2007

SProces v2.8 (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v7.0.5730.11) 0

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_02\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\SXE INJECTED\SXE INJECTED.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT ACTIVESYNC\WCESCOMM.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP4LAK.EXE

C:\ARCHIV~1\MI3AA1~1\RAPIMGR.EXE

C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\CAP4RSK.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP4SWK.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\USNSVC.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\WINAMP\WINAMP.EXE

C:\WINDOWS\SYSTEM32\GFXBQLWN.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\DOCUMENTS AND SETTINGS\USUARIO DEL EQUIPO\ESCRITORIO\PARA LOS SPYWARES\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06C41075-8929-43F6-885C-7C6831207719} - C:\WINDOWS\system32\ddccd.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {896A23A4-DA25-4F80-9AB3-B67D19DD5CB6} - C:\WINDOWS\system32\mqqm32.dll (file missing)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {CF46BFB3-2ACC-441b-B82B-36B9562C7FF1} - C:\WINDOWS\system32\hbgsaqwm.dll

O4 - HKLM\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [CMS_RSChecker] "C:\DOCUME~1\USUARI~1\CONFIG~1\Temp\Rar$EX00.031\Rapidshare Free Account Notifier v1.0\RS_FAN_1.0\RSFAN.exe" -m

O4 - HKLM\..\Run: [PowerBar]

O4 - HKLM\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"

O4 - HKLM\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sXe Injected] C:\Archivos de programa\sXe Injected\sXe Injected.exe

O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\tijlhcbk.dll",sitypnow

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: Microsoft Find Fast.lnk

O4 - Global Startup: Ventana de estado de Canon LBP3200.LNK

O8 - Extra context menu item: Download FLV video content with IDM - C:\Archivos de programa\Internet Download Manager\IEGetVL.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-CL/a-UNO1/GAME_UNO1.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0015-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.5.0_03) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: DomainService - - C:\WINDOWS\system32\gfxbqlwn.exe

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

si no, ponganme un manual de uso xDDDDD

gracias denuevo :)

Mensaje por **msc hotline sat** » 21 Sep 2007, 07:43

No sé como enviarte el manual de uso... son tropecientos libros de tres carreras de ingenieria, mas los previos de bachillerato, mas la basica, mas las experiencias de 36 años de trabajo... quizas en un container... :wink:

(Eso en lo que respecta a mi, pero no me basto, somos un equipo y posiblemente se precisarían varios containers... :lol: )

Venga, envianos estos ficheros para analizar:

C:\WINDOWS\SYSTEM32\GFXBQLWN.EXE <---- desconocido ???

C:\WINDOWS\system32\ddccd.dll <----- (huele a VUNDO)

C:\WINDOWS\system32\hbgsaqwm.dll <----- es un servicio que aparece en las ultimas lineas del SPROCLOG, mas VUNDO ...

Bueno, a su recepcion los analizaremos e informaremos, pero hazlo antes de irte a la cama que el viernes solo trabajamos por la mañana (aunque eso es un decir...)

Sino a primera hora de la mañana, pero con el desfase horario con Chile ya será aqui el mediodia... Bueno, lo antes posible !

saludos

ms, 21-9-2007

petazo · Mensaje por **petazo** » 21 Sep 2007, 08:03

ya..... enviados los archivos, pero tengo una pregunta.

cuando heche a correr el SPROCES no me salio ningunna ventana o algo parecido como el HJT, de hecho no me salio nada y los recursos se me fueron al 100% xD. sin embargo, igual quedo el log, q fue el que les envie. ¿no tenia q aparecer nada cierto, solo el log?

Mensaje por **msc hotline sat** » 21 Sep 2007, 12:56

El SPROCES es otra historia, nada que ver con el HJT, aunque brinde un log , mas extenso y profunco, pero inicialmente es para que los técnicos podamos ver los módulos y procesos, pues cuando el SVCHOST lanza procesos no sabemos cuales y los modulos de las DLL lanzados por el RUNDLL32 tampoco, y lop hicimos para nosotros, lo que pasa es que dadas las limitaciones del HJT, no vemos muchos servicios que llegamos a ver con el log que genera el SPROCES, y cuando necesitamos llegar mas a fondo, proponemos probarlo.

Sobre las muestras, llegaron y estan en cola, procuraremos liqudarlas hoy.

Seguiremos informando

saludos

ms, 21-09-2007

Mensaje por **msc hotline sat** » 21 Sep 2007, 13:56

Sobre las muestras, 1 es un FOTOMOTO ya controlado por el ELISTARA de ayer

y otros son VUNDO 6 y variante de JuanSearch que pasamos a controlar con el ELISTARA de hoy 14.69

saludos

ms, 21-09-2007

petazo · Mensaje por **petazo** » 21 Sep 2007, 18:56

pase elistara y me dijo q tenia q reiniciar pa borrar un troyano o algo asi, reinicie y luego me dijo q tenia q reiniciar denuevo reinicie y denuevo... xD peromnunca borro uno.... en el log ssale como acceso denegado.

aki va

Fri Sep 21 12:18:17 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\HBGSAQWM.DLL --> JuanSearch(BHO) Renombrado a .VIR

Eliminada Class, "{CF46BFB3-2ACC-441B-B82B-36B9562C7FF1}" -> C:\WINDOWS\system32\hbgsaqwm.dll

Eliminado Servicio, "DomainService"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Sep 21 12:28:09 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\VXENGQFW.DLL --> Eliminado JuanSearch(BHO)

Eliminada Class, "{CF46BFB3-2ACC-441B-B82B-36B9562C7FF1}" -> C:\WINDOWS\system32\vxengqfw.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Sep 21 12:28:58 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\DDCCD.DLL --> Acceso Denegado, Vundo6(notify)

C:\WINDOWS\system32\GFXBQLWN.EXE --> Eliminado, FotoMoto

C:\WINDOWS\system32\HBGSAQWM.DLL.VIR --> Eliminado, JuanSearch(BHO)

Fri Sep 21 12:43:40 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Sep 21 12:44:32 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\DDCCD.DLL --> Acceso Denegado, Vundo6(notify)

aki esta el log del SProces

Fri Sep 21 12:58:08 2007

SProces v2.8 (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v7.0.5730.11) 0

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\CAP4RSK.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_02\BIN\JUSCHED.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT ACTIVESYNC\WCESCOMM.EXE

C:\ARCHIV~1\MI3AA1~1\RAPIMGR.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP4LAK.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP4SWK.EXE

C:\ARCHIVOS DE PROGRAMA\WINAMP\WINAMP.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\DOCUMENTS AND SETTINGS\USUARIO DEL EQUIPO\ESCRITORIO\PARA LOS SPYWARES\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {5D52F2AC-1096-479A-9C10-3F6D90F6EC3C} - C:\WINDOWS\system32\ddccd.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {896A23A4-DA25-4F80-9AB3-B67D19DD5CB6} - C:\WINDOWS\system32\mqqm32.dll (file missing)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [CMS_RSChecker] "C:\DOCUME~1\USUARI~1\CONFIG~1\Temp\Rar$EX00.031\Rapidshare Free Account Notifier v1.0\RS_FAN_1.0\RSFAN.exe" -m

O4 - HKLM\..\Run: [PowerBar]

O4 - HKLM\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"

O4 - HKLM\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sXe Injected] C:\Archivos de programa\sXe Injected\sXe Injected.exe

O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\tijlhcbk.dll",sitypnow

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Usuario del equipo\Escritorio\para los spywares\ELISTARA.31092007.EXE

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: Microsoft Find Fast.lnk

O4 - Global Startup: Ventana de estado de Canon LBP3200.LNK

O8 - Extra context menu item: Download FLV video content with IDM - C:\Archivos de programa\Internet Download Manager\IEGetVL.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-CL/a-UNO1/GAME_UNO1.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0015-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.5.0_03) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

eso por ahora

saludos

Mensaje por **msc hotline sat** » 21 Sep 2007, 19:23

Sí, claro, como que no se puede eliminar este fichero:

C:\WINDOWS\system32\DDCCD.DLL --> Acceso Denegado, Vundo6(notify)

lo va probando, y si no lo logra, a traves de una clave RUNONCE lo va instalando de nuevo en el registro.

A la vista de que no debe poderse, si bien en la muestra monitorizada se ha podido, proceda a mover dicho fichero al escritorio por ejemplo o renombrar dicho fichero a .VIR y, si lo logra, tras reiniciar deberá poder eliminarlo

Cuentenos sus progresos, que si no es asi lo haremos de otras maneras (desde una ventana al DOS, o arrancando en modo seguro con solo simbolo de sistema, o desde consola de recuperacion, pero si no se deja eliminar a las buenas, será a las malas !

saludos

ms, 21-09-2007

petazo · Mensaje por **petazo** » 21 Sep 2007, 19:45

intente cortar y pegar en el escritorio y nose pudo por estar en uso, intente tambien cambiarle la extencion en la misma carpeta system32 a .vir pero tampoco se pudo.

me falta intentar en modo aprueba de fallos. notificaré enseguida.

edit.

en modo a prueba de fallos tampoco se pudo borrar ni cambiar la extencion. :(

Mensaje por **msc hotline sat** » 21 Sep 2007, 20:17

Pues ya que lo vas a hacer en mod0 seguro, si no lo logras pruebalo en modo seguro con simbolo de sistema (MSDOS), y te situas en su ruta, con CD ... (Change Directory) y luego con MOVE miras de moverlo al escritorio o si puedes lo borras con un DEL...

Y si no, aun nos queda la bomba, que es hacerlo desde la consola de recuperacion, para lo que basta arrancar con el CD de instalacion y acceder a ella de entrada.

saludos

ms, 19-09-.2007

petazo · Mensaje por **petazo** » 21 Sep 2007, 21:38

en modo seguro con simbolo de sistema (MSDOS) fue imposible borrar y mover, porque tambien me dijo q estaba en uso, intente renombrar pero tampoco se pudo :(

el prblema es q no tengo el CD de windows :(

Mensaje por **msc hotline sat** » 21 Sep 2007, 21:45

Pues deberías tenerlo... y ahora te ahorraría tener que sacra el disco duro e instalarlo como esclavo en otro ordenador, para que no estuvieran en uso y pudieran toquetearlos...

Venga, aunque sea con uno de Wndows 2000, no me digas de donde lo has sacado, pero con lo que sea, Xp, 2000, 2003, arranca con el CD de instalacion y accede a la consola de recuperaicon, asi es el penultimo recurso y no se nos resisten nunca, y si no, ya sabes lo que tendrás que hacer... y eso es bastante mas faena.

saludos

ms, 21-09-2007

petazo · Mensaje por **petazo** » 21 Sep 2007, 21:49

la verdad es q si lo tenia pero mi hermano...¬¬.... lo rayo ..¬¬...

y no arranca...

me conseguiré uno... a ver q pasa.

petazo · Mensaje por **petazo** » 21 Sep 2007, 23:22

hola denuevo.

mientras me consigo un CD de windows pase un antivirus online de los q uds.(AV ONLINE aconsejado ) recomiendan y esto fue lo q me entregó:

C:\Documents and Settings\Usuario del equipo\Datos de programa\Sun\Java\Deployment\cache\6.0\3\aaf7a03-775118e3

C:\Documents and Settings\Usuario del equipo\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\arr3.jar-44f46a27-26249275.zip>Gummy.class

C:\Documents and Settings\Usuario del equipo\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\arr3.jar-44f46a27-26249275.zip>Counter.class

C:\Documents and Settings\Usuario del equipo\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\arr3.jar-44f46a27-26249275.zip>VerifierBug.class

C:\Documents and Settings\Usuario del equipo\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\arr3.jar-44f46a27-26249275.zip>Beyond.class

C:\Documents and Settings\Usuario del equipo\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-1f4eade4-39f01c6c.zip

C:\Documents and Settings\Usuario del equipo\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-1f4eade4-39f01c6c.zip>BlackBox.class

C:\Documents and Settings\Usuario del equipo\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-1f4eade4-39f01c6c.zip>VerifierBug.class

C:\Documents and Settings\Usuario del equipo\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-1f4eade4-39f01c6c.zip>Dummy.class

C:\Documents and Settings\Usuario del equipo\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-1f4eade4-39f01c6c.zip>Beyond.class

C:\WINDOWS\system32\bmlsenwk.exe

C:\WINDOWS\system32\ddccd.dll

C:\wins3.exe

C:\winsv.exe

todos esos archivos están infectados.... :s

me llama la atencion de que en java haya infeccion, pero mas me llama la atencion los ultimos 4.

si quieres te puedo enviar una copia para q los revises.

Mensaje por **lucl** » 22 Sep 2007, 10:17

Pues envianos de los cuatro ultimos los tres que terminan en exe, y los analizaremos o si quiers ganar tiempo subelos a virustotal y nos dices que resultado arrojan, saludos

http://www.virustotal.com

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

petazo · Mensaje por **petazo** » 22 Sep 2007, 22:27

C:\WINDOWS\system32\bmlsenwk.exe

Win-Trojan/Xema.variant

TR/Click.Agent.NP

W32/Downldr2.JXG

Win32:Tiny-IF

Downloader.Generic4.ZQI

Trojan.Clicker.Agent.NP

TrojanDownloader.Tiny.id

Trojan.Downloader-10686

Trojan.Click.2799

Trojan-Downloader.Win32.Tiny.id

Trojan.Click.2799

Trojan-Downloader.Win32.Tiny.id

Trojan:Win32/Conhook.D

probably a variant of Win32/Trojan

Trojan.DL.Win32.Tiny.id

Trojan.Vundo

Trojan/Downloader.Tiny.id

Trojan.Click.2799

Trojan.DL.Tiny.IH

Trojan.Click.Agent.NP

C:\WINDOWS\system32\ddccd.dll

TR/Dldr.ConHook.Gen

Lop.DN

DeepScan:Generic.Virtumonde.1.9391300D

Suspicious Trojan/Worm

Win32/Vundo!generic

Generic.Virtumonde.1

Suspicious file

Virtumundo

VIPRE.Suspicious

Adware.Vundo.P.Gen

Trojan.Dldr.ConHook.Gen

C:\wins3.exe

TR/Dldr.LoadAdv.A.1

Win32:LoadAdv-I

Downloader.Generic6.CZQ

Trojan.Downloader.LoadAdv.A

Trojan.Small-4071

Trojan.DownLoader.32589

suspicious Trojan/Worm

Win32/Harnig!generic

Tibs.gen116

Trojan-Downloader.LoadAdv.B

TrojanDownloader:Win32/Small.CCC

unpack error

Tibs.gen116

W32/Sdbot.LDB.worm

Trojan.DL.Win32.LoadAdv.h

Mal/DowAdv-B

Trojan.DL.Loadadv.Gen.2

Win32.NewMalware.CM!6682

C:\winsv.exe

TR/Dldr.LoadAdv.A.1

Win32:LoadAdv-I

Downloader.Generic6.CZQ

Trojan.Downloader.LoadAdv.A

Trojan.Small-4071

Trojan.DownLoader.32589

suspicious Trojan/Worm

Win32/Harnig!generic

Tibs.gen116

Trojan-Downloader.LoadAdv.B

TrojanDownloader:Win32/Small.CCC

unpack error

Tibs.gen116

W32/Sdbot.LDB.worm

Trojan.DL.Win32.LoadAdv.h

Mal/DowAdv-B

Trojan.DL.Loadadv.Gen.2

Win32.NewMalware.CM!6682

esto fue lo q arrojo el http://www.virustotal.com

les voy a mandar estos archivos para que puedan analizarlos.

desde ya, muchas gracias y buen fin de semana

Mensaje por **lucl** » 23 Sep 2007, 00:02

Bien una vez recibidos los analizaran y te diremos algo, y haz una cosa , renombralos a .VIR para que no molesten hasta que tengamos las herramientas , y estate atento al post durante el lunes, saludos

Mensaje por **msc hotline sat** » 23 Sep 2007, 08:50

Mejor el martes, que el lunes es "Festa Major" la Virgen de la Merced, patrona de Barcelona... y SATINFO está cerrado, claro

saludos

ms, 23-09-2007

petazo · Mensaje por **petazo** » 25 Sep 2007, 07:44

me salio otr infeccion..... estaba junto a los otros. se llama logo2.exe

se las enviare.

Mensaje por **lucl** » 25 Sep 2007, 07:56

Bien hecho, estate atento hoy que te daran las herramientas necesarias, saludos

Mensaje por **msc hotline sat** » 25 Sep 2007, 12:57

Recibidas las muestras, la del fichero C:\WINDOWS\system32\ddccd.dll ya es detectada por el actual ELISTARA / ELINOTIF, como VUNDO 6

Los demas entran en proceso. Seguiremos informando

Nota: Los reports del VirusTotal, mejor postearlos con un copiar y pegar, sin modificar, pues tal como lo ha hecho no nos sirve al no ver el antivirus correspondiente al nombre, ya que utilizan diferentes nombres para un mismo virus, y visto el nombre y el antivirus que lo detecta como tal, podemos clasificarlo en una familia determinada,sino, no.

saludos

ms, 25-09-2007

petazo · Mensaje por **petazo** » 25 Sep 2007, 18:21

ok no hay prblema, eso hare ahora

Mensaje por **msc hotline sat** » 25 Sep 2007, 18:24

Aparte de la muestra ya controlada, en los otros 4 que nos envia, en dos no se detectan rutinas viricas y en los otros dos hay diferentes downloaders que pasamos a controlar con la nueva version de hoy 14.70 del ELISTARA, que podrá descargar de esta web a aprtir de las 19 h GMT, para pruebas de evaluaicon en el foro de zonavirus

saludos

ms, 25-09-2007

petazo · Mensaje por **petazo** » 25 Sep 2007, 18:31

~~[b]~~logon2.exe[/b]

Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2007.9.22.0 2007.09.24 -

AntiVir 7.6.0.15 2007.09.25 -

Authentium 4.93.8 2007.09.25 -

Avast 4.7.1043.0 2007.09.24 -

AVG 7.5.0.485 2007.09.25 -

BitDefender 7.2 2007.09.25 -

CAT-QuickHeal 9.00 2007.09.24 -

ClamAV 0.91.2 2007.09.25 -

DrWeb 4.33 2007.09.25 -

eSafe 7.0.15.0 2007.09.23 -

eTrust-Vet 31.2.5162 2007.09.25 -

Ewido 4.0 2007.09.24 -

FileAdvisor 1 2007.09.25 -

Fortinet 3.11.0.0 2007.09.25 -

F-Prot 4.3.2.48 2007.09.25 -

F-Secure 6.70.13030.0 2007.09.25 -

Ikarus T3.1.1.12 2007.09.25 -

Kaspersky 4.0.2.24 2007.09.25 -

McAfee 5127 2007.09.25 -

Microsoft 1.2803 2007.09.25 -

NOD32v2 2549 2007.09.25 -

Norman 5.80.02 2007.09.25 -

Panda 9.0.0.4 2007.09.25 -

Prevx1 V2 2007.09.25 -

Rising 19.42.11.00 2007.09.25 -

Sophos 4.21.0 2007.09.25 -

Sunbelt 2.2.907.0 2007.09.25 -

Symantec 10 2007.09.25 -

TheHacker 6.2.5.068 2007.09.25 -

VBA32 3.12.2.4 2007.09.25 -

VirusBuster 4.3.26:9 2007.09.25 -

Webwasher-Gateway 6.0.1 2007.09.25 Win32.Malware.dam (suspicious)

~~[b]~~wins3.exe[/b]

Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2007.9.22.0 2007.09.24 -

AntiVir 7.6.0.15 2007.09.25 -

Authentium 4.93.8 2007.09.25 -

Avast 4.7.1043.0 2007.09.24 Win32:LoadAdv-I

AVG 7.5.0.485 2007.09.25 Downloader.Generic6.CZQ

BitDefender 7.2 2007.09.25 Trojan.Downloader.LoadAdv.A

CAT-QuickHeal 9.00 2007.09.24 -

ClamAV 0.91.2 2007.09.25 Trojan.Small-4071

DrWeb 4.33 2007.09.25 Trojan.DownLoader.32589

eSafe 7.0.15.0 2007.09.23 suspicious Trojan/Worm

eTrust-Vet 31.2.5162 2007.09.25 Win32/Harnig!generic

Ewido 4.0 2007.09.24 -

FileAdvisor 1 2007.09.25 -

Fortinet 3.11.0.0 2007.09.25 -

F-Prot 4.3.2.48 2007.09.25 -

F-Secure 6.70.13030.0 2007.09.25 Tibs.gen116

Ikarus T3.1.1.12 2007.09.25 Trojan-Downloader.LoadAdv.B

Kaspersky 4.0.2.24 2007.09.25 -

McAfee 5127 2007.09.25 -

Microsoft 1.2803 2007.09.25 TrojanDownloader:Win32/Small.CCC

NOD32v2 2549 2007.09.25 unpack error

Norman 5.80.02 2007.09.25 Tibs.gen116

Panda 9.0.0.4 2007.09.25 W32/Sdbot.LDB.worm

Prevx1 V2 2007.09.25 Malware.Gen

Rising 19.42.11.00 2007.09.25 Trojan.DL.Win32.LoadAdv.h

Sophos 4.21.0 2007.09.25 Mal/DowAdv-B

Sunbelt 2.2.907.0 2007.09.25 -

Symantec 10 2007.09.25 -

TheHacker 6.2.5.068 2007.09.25 -

VBA32 3.12.2.4 2007.09.25 -

VirusBuster 4.3.26:9 2007.09.25 Trojan.DL.Loadadv.Gen.2

Webwasher-Gateway 6.0.1 2007.09.25 Riskware.Dnspoof.A

Información adicional

Tama�o archivo: 6682 bytes

MD5: 6ebb4797e0c7f4812cc83a550b1273de

SHA1: 95c0d3adca30b4e3fc896184b6af0ae5b10f8c0f

packers: UPX

packers: UPX

packers: UPX

packers: UPX

Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=C3B87DEB1AE45BCE1A17000BF8DFB7000F87FC0B

~~[b]~~winsv.exe[/b]

Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2007.9.22.0 2007.09.24 -

AntiVir 7.6.0.15 2007.09.25 -

Authentium 4.93.8 2007.09.25 -

Avast 4.7.1043.0 2007.09.24 Win32:LoadAdv-I

AVG 7.5.0.485 2007.09.25 Downloader.Generic6.CZQ

BitDefender 7.2 2007.09.25 Trojan.Downloader.LoadAdv.A

CAT-QuickHeal 9.00 2007.09.24 -

ClamAV 0.91.2 2007.09.25 Trojan.Small-4071

DrWeb 4.33 2007.09.25 Trojan.DownLoader.32589

eSafe 7.0.15.0 2007.09.23 suspicious Trojan/Worm

eTrust-Vet 31.2.5162 2007.09.25 Win32/Harnig!generic

Ewido 4.0 2007.09.24 -

FileAdvisor 1 2007.09.25 -

Fortinet 3.11.0.0 2007.09.25 -

F-Prot 4.3.2.48 2007.09.25 -

F-Secure 6.70.13030.0 2007.09.25 Tibs.gen116

Ikarus T3.1.1.12 2007.09.25 Trojan-Downloader.LoadAdv.B

Kaspersky 4.0.2.24 2007.09.25 -

McAfee 5127 2007.09.25 -

Microsoft 1.2803 2007.09.25 TrojanDownloader:Win32/Small.CCC

NOD32v2 2549 2007.09.25 unpack error

Norman 5.80.02 2007.09.25 Tibs.gen116

Panda 9.0.0.4 2007.09.25 W32/Sdbot.LDB.worm

Prevx1 V2 2007.09.25 Malware.Gen

Rising 19.42.11.00 2007.09.25 Trojan.DL.Win32.LoadAdv.h

Sophos 4.21.0 2007.09.25 Mal/DowAdv-B

Sunbelt 2.2.907.0 2007.09.25 -

Symantec 10 2007.09.25 -

TheHacker 6.2.5.068 2007.09.25 -

VBA32 3.12.2.4 2007.09.25 -

VirusBuster 4.3.26:9 2007.09.25 Trojan.DL.Loadadv.Gen.2

Webwasher-Gateway 6.0.1 2007.09.25 Riskware.Dnspoof.A

Información adicional

Tama�o archivo: 6682 bytes

MD5: 6ebb4797e0c7f4812cc83a550b1273de

SHA1: 95c0d3adca30b4e3fc896184b6af0ae5b10f8c0f

packers: UPX

packers: UPX

packers: UPX

packers: UPX

Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=C3B87DEB1AE45BCE1A17000BF8DFB7000F87FC0B

una cosa.... pase el ultimo elistara y me borro uno que supuestamente ya lo hbaia borrado antes(lo pueden ver en post anteriores)... lo marcaré en negrita en el log, asi que hay algo que esta bajandome esas cosas.... sera el DDCCD.DLL??? porque aun no lo puedo borrar :S

pase elitrip tambien, pero no detecto nada :)

Tue Sep 25 14:28:37 2007

EliStartPage v14.70 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Sep 25 14:28:47 2007

EliStartPage v14.70 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINS3.EXE --> Eliminado, DownLoader.LoadAvd.B

C:\WINSV.EXE --> Eliminado, DownLoader.LoadAvd.B

~~[b]~~C:\WINDOWS\system32\BMLSENWK.EXE --> Eliminado, DownLoader.Tiny.ID[/b]

C:\WINDOWS\system32\DDCCD.DLL --> Acceso Denegado, Vundo6(notify)

Tue Sep 25 14:38:02 2007

EliTriIP v3.92 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Sep 25 14:38:04 2007

EliTriIP v3.92 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mensaje por **msc hotline sat** » 25 Sep 2007, 21:09

Pues ya puedes descargar y probar la version del ELISTARA indicada

~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 25-09-2007

petazo · Mensaje por **petazo** » 25 Sep 2007, 22:25

Tue Sep 25 15:20:43 2007

EliStartPage v14.70 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Sep 25 15:20:55 2007

EliStartPage v14.70 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\DDCCD.DLL --> Acceso Denegado, Vundo6(notify)

Tue Sep 25 15:36:56 2007

EliStartPage v14.70 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Sep 25 15:37:16 2007

EliStartPage v14.70 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\DDCCD.DLL --> Acceso Denegado, Vundo6(notify)

como siempre me decia q tenia q reiniciar para terminar de borrar el archivopero despues no lo borraba :S

eso por ahora.