Mensajes extraños posible win32/rbot (SOLUCIONADO)

trymenow · Mensaje por **trymenow** » 29 Dic 2006, 19:20

Hola Amigos...Estoy recibiendo sospechosos mensajes diciendo que me conecte a sitios extraños para escanear el registro de windows. Spybot no encuentra nada.

Sin embargo el antivirus me señala infeccion en C:\WINNT\system32\cmh.exe

C:\WINNT\system32\winlogo.exe

A continuacion les adjunto mi log.

Gracias.

Logfile of HijackThis v1.99.1

Scan saved at 09:27:34 p.m., on 28/12/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb08. exe

C:\WINNT\system32\cmh.exe

C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [S3apphk] S3apphk.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb08. exe

O4 - HKLM\..\Run: [Microsft Security Monitor Process] cmh.exe

O4 - HKLM\..\Run: [Windows Services Layer] C:\WINNT\system32\winl0g0.exe

O4 - HKLM\..\Run: [Windows Config System] config.exe

O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] cmh.exe

O4 - HKLM\..\RunServices: [Windows Services Layer] C:\WINNT\system32\winl0g0.exe

O4 - HKLM\..\RunServices: [Windows Config System] config.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [Windows Services Layer] C:\WINNT\system32\winl0g0.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/en/us/default.aspxspanish/msn

O14 - IERESET.INF: MS_START_PAGE_URL=http://www.microsoft.com/en/us/default.aspxspanish/msn

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Servicio de Registro remoto (RemoteRegistry) - Unknown owner - C:\WINNT\system32\regsvc.exe (file missing)

O23 - Service: Programador de tareas (Schedule) - Unknown owner - C:\WINNT\system32\MSTask.exe (file missing)

ahi · Mensaje por **ahi** » 30 Dic 2006, 00:46

a ver creo que se tu problema:

te salen mensajes en ventanas con titulo:messenger service.

si es asi has lo siguiente:

abres inicio/ejecutar, tecleas "services.msc" se abre el administrador de dispositivos, buscas "mensajero" le das a boton derecho/propiedades y le das en "tipo de inicio" a deshebilitar o manual.

nota: no te preocupes no pertenece (el servicio) a msn messenger o windows messenger.

nota2: tu problema se llama messenger spam, envian mensajes

a tuc ordenador solo poniendo tu ip.

sobre el hijackthis:

elimina estas claves:

O4 - HKLM\..\Run: [Microsft Security Monitor Process] cmh.exe

creo que tu posible win32/rbot es cierto:(eliminala)

O4 - HKLM\..\Run: [Windows Services Layer] C:\WINNT\system32\winl0g0.exe

esta tiene muy mala pinta pero espere a confirmacion para eliminarla:

O4 - HKLM\..\Run: [Windows Config System] config.exe

otras mas para eliminar:

O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] cmh.exe

O4 - HKLM\..\RunServices: [Windows Services Layer] C:\WINNT\system32\winl0g0.exe

otra con muy mala pinta pero espere la confirmacion:

O4 - HKLM\..\RunServices: [Windows Config System] config.exe

sobre este te digo que es un archivo de windows pero, el original de windows se ejecuta desde C:\WINNT\system32 o C:\WINDOWS\SYSTEM, pero en este caso no se sabe de donde se ejecuta (puede ser troyano Win32.Lydra.a.) espere confirmacion para eliminar:

O4 - HKCU\..\Run: [internat.exe] internat.exe

otra para eliminar:

O4 - HKCU\..\Run: [Windows Services Layer] C:\WINNT\system32\winl0g0.exe

creo que eso es todo.

ahi · Mensaje por **ahi** » 30 Dic 2006, 00:52

se me olvido decirlo:

para eliminar las clves:

abre el hijackthis dale a "do a system scan only" clicas en el cuadrado de al lado de cada clave y las eliminas dandole a "fix checked"

Mensaje por **msc hotline sat** » 31 Dic 2006, 13:32

Pero estas usando un I.E.5 ???

No se hacen parches para dicha version totalmente obsoleta !!! y por los agujeros te seguiran ebntrando virus como los que tenias ...

Instala la I.E.6 y lanza un windowsupdate !

_______

CMH.EXE

@ : nasty : SDBOT variant : exist in RUN and RUNSERVICES keys

O4 - HKLM\..\Run: [Microsft Security Monitor Process] cmh.exe

O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] cmh.exe

_______

winl0g0.exe

@ : NASTY : exist in RUN and RUNSERVICES keys and cero "0" is used in "O" letter

O4 - HKLM\..\Run: [Windows Services Layer] C:\WINNT\system32\winl0g0.exe

O4 - HKLM\..\RunServices: [Windows Services Layer] C:\WINNT\system32\winl0g0.exe

O4 - HKCU\..\Run: [Windows Services Layer] C:\WINNT\system32\winl0g0.exe

_______

CONFIG.EXE

@ : NASTY : config.exe está infectado por el virus New malware! bot y esta en RUN Y RUNSERVICES:

O4 - HKLM\..\Run: [Windows Config System] config.exe

O4 - HKLM\..\Run: [Windows Config System] config.exe

________

Enviarnos los ficheros sospechosos de las claves indicadas para analizarlos:

config.exe, C:\WINNT\system32\winl0g0.exe, C:\WINNT\system32\cmh.exe

RECORDAR: https://foros.zonavirus.com/viewtopic.php?f=5&t=45334

saludos

ms 31-12-2006

trymenow · Mensaje por **trymenow** » 31 Dic 2006, 20:02

Amigos:

Gracias por vuestra preocupacion !

En principio quiero decir que estaba usando Explorer 5 porque recien habia terminado de instalar Windows 2000 en esa maquina. Realmente no me dio tiempo para actualizar (cosa que ya he hecho).

Por lo demas, todo se ha solucionado satisfactoriamente. Como anecdota quiero contarles que desinstale el Nod32 puesto que no me habia reconocido la infeccion en winl0g0.exe. En cambio volvi al viejo amor: Kaspersky. Hice un examen online y rapidamente encontro los problemas.

Les envio un abrazo y les deseo un excelente año nuevo para todos.

Gracias.

Sergio

Argentina

Mensaje por **msc hotline sat** » 31 Dic 2006, 20:07

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 31-12-2006