EL MEDBOT HF Y MEDBOT HN ME VAN A VOLVER LOCO

encisoboy · Mensaje por **encisoboy** » 28 Mar 2007, 22:28

Buenas a todos los foreros!!!

Os cuento mi problema, el nod 32 me detecta el Medbot.hf y el Medbot.hn en la carpeta /Incoming/Setup.exe y lo envia a cuarentena.Pero luego al rato sale otra vez, me he dado cuenta que se crea en esa carpeta un autorun.inf que el elitriip detecta como BackDoor.CMQ (inf). Pero cuando salta de nuevo el nod32 con alguno de estos troyanos volvemos a empezar de nuevo.

He desabilitado Restaurar sistema.

Os pego los resultados del elitriip 3.40 y del Hihackthis a ver si me podeis echar un cable. Gracias anticipadas :wink: :

Wed Mar 28 14:49:25 2007

EliTriIP v3.40 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Wed Mar 28 14:49:31 2007

EliTriIP v3.40 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\eMule\Incoming\autorun.inf --> Eliminado, BackDoor.CMQ (inf)

C:\RECYCLER\S-1-5-21-854245398-920026266-839522115-1003\Dc794.inf --> Eliminado, BackDoor.CMQ (inf)

C:\RECYCLER\S-1-5-21-854245398-920026266-839522115-1003\Dc797.inf --> Eliminado, BackDoor.CMQ (inf)

Exploración Detenida por el Usuario.

Logfile of HijackThis v1.99.1

Scan saved at 21:21:09, on 28/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32krn.exe

c:\program files\printsupervision\www\bin\printsupervisor.exe

C:\Program Files\PrintSuperVision\www\bin\PSVWebServer.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\ARCHIV~1\MICROS~3\rapimgr.exe

C:\Archivos de programa\Okidata\Utilidad OKI LPR\okilpr.exe

C:\Archivos de programa\Spyware Doctor\svcntaux.exe

C:\Archivos de programa\Spyware Doctor\swdsvc.exe

C:\Archivos de programa\Spyware Doctor\SDTrayApp.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\format.com

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Carlos\Escritorio\Varios\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Archivos de programa\FlashGet\jccatch.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Archivos de programa\FlashGet\getflash.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [WHITNEY_S2P] C:\Archivos de programa\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe

O4 - HKLM\..\Run: [NodLogin] C:\Archivos de programa\Eset\nodlogin.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SDTray] C:\Archivos de programa\Spyware Doctor\SDTrayApp.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Utilidad OKI LPR.lnk = C:\Archivos de programa\Okidata\Utilidad OKI LPR\okilpr.exe

O8 - Extra context menu item: &Download All with FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: &Download with FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INetRepl.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B7541CBE-3B1A-447A-B6E3-D60EDA0069E6}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: PrintSuperVisor - - c:\program files\printsupervision\www\bin\printsupervisor.exe

O23 - Service: PSVWebserver (PSVWebServer) - - C:\Program Files\PrintSuperVision\www\bin\PSVWebServer.exe

O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\svcntaux.exe

O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\swdsvc.exe

Mensaje por **msc hotline sat** » 29 Mar 2007, 08:54

Sugerimos desinstalar el Spyware Doctor por la ralentizacion que provoca ...

Y envienos muestras de estos ficheros sospechosos y los analizaremos:

C:\WINDOWS\system32\format.com

c:\program files\printsupervision\www\bin\printsupervisor.exe

C:\Program Files\PrintSuperVision\www\bin\PSVWebServer.exe

aparte, este SETUP.EXE qie dice le aparece en INCOMING envienoslo tambien, que posiblemente es el dropper del CMQ y llega por carpetas compartidas

recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 29-03-2007

encisoboy · Mensaje por **encisoboy** » 29 Mar 2007, 21:03

Gracias por tu respuesta.

Ya te he enviado los archivos menos el setup.exe porque me lo borro el nod32. cuando lo detecte ora vez te lo envio

Mensaje por **msc hotline sat** » 30 Mar 2007, 07:53

El SETUP.EXE es como entra, desde otro ordenador en Intranet o en Internet, por comparticion de carpetas.

Ya tenemos incluidos mas de 200 en el ELITRIIP para control de variantes del CMQ, y los que recibamos, los añadiremos

Y cuando entremos hoy a SATINFO, veremos las muestras recibidas e informaremos

saludos

ms, 30-03-2007

Mensaje por **msc hotline sat** » 30 Mar 2007, 13:16

Recibidos los ficheros, tras analizarlos no se detecta en ellos rutinas víricas.

Es que si ya no entra el SETUP, ya no progresa en el ordenador.

Y lo que hace NOD32 es enviarlo a cuarentena, como nosotros hacemos en la carpeta c:\muestras, para que nos puedan enviarlas y así controlar la variante, por si quedaran restos en otra parte, pero de entrada, muerto el perro se acabo la rabia...

Y mientras use comparticiones P2P, seguirán entrando malwares..., pero mientras se vayan parando... pero a base de penalties,, se acaba metiendo gol!

Mi consejo, deshacerse de comparticiones P2P

saludos

ms, 30-03-2007