Infeccion con Win32/SpyVBStat.J trojan

[cagnaperez]

Me he infectado con este molesto espia, les agradeceria vieran mi log de hjt, desde ya muchas gracias









Logfile of HijackThis v1.99.1

Scan saved at 04:26:46 p.m., on 26/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Diskeeper Corporation\Diskeeper\DkService.exe

D:\Impresora Fiscal\FIS_SVC.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\honestech\honestech TVR\honestechTV.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\FRANCI~1\CONFIG~1\Temp\Rar$EX00.672\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com

O1 - Hosts: 127.255.255.255 http://www.alcohol-soft.com

O1 - Hosts: 127.255.255.255 images.alcohol-soft.com

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\klcujvyb.dll",realset

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O12 - Plugin for .csm: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .csml: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .cub: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .cube: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .dx: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .emb: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .embl: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .gau: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .jdx: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .mol: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .mop: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .pdb: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .rxn: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .scr: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .skc: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .spt: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .tgf: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .xyz: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161959460828

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Archivos de programa\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: Fiscal Printer Service (Fis_Service) - Unknown owner - D:\Impresora Fiscal\FIS_SVC.EXE

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

[msc hotline sat]

Envianos estos dos ficheros sospechosos para analizarlos:



C:\WINDOWS\system32\klcujvyb.dll



D:\Impresora Fiscal\FIS_SVC.EXE



para ello recuerda:



https://foros.zonavirus.com/viewtopic.php?f=5&t=45334



saludos



ms, 26-04-2007

[cagnaperez]

¿Alguna novedad acerca de mi problema?

[msc hotline sat]

Pues si, el primero es un VUNDO que ya se controla con el actual ELISTARA y el segundo no es virico.



Se recibió la semana pasada, pero hasta hoy no pudimos entrarlo en analisis, lo que pasa es que ya está controlado y puedes probar el ELISTARA para eliminarlo:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 2 de Mayo de 2007