El sistema va raro, creo que tengo un virus

Responder
chechuS
Mensajes: 3
Registrado: 19 May 2007, 17:42

El sistema va raro, creo que tengo un virus

Mensaje por chechuS » 19 May 2007, 17:51

buenas.. ante todo saludar a todos los foreros porque soy nuevo en el foro y escribo mi primer post para ver si alguien me puede ayudar.

De ayer para hoy cuando abro el internet explorer me sale de pagina de inicio una pagina muy chusca llamada http://www.macdonald.com, ademas de salirme un icono de esa web en el escritorio, en el menu de inicio y en programas. He entrado en el registro y en el run aparece una entrada de esa pagina, lo eliminé pero al reiniciar vuelve a aparecer. He pasado la ultima version de elistara pero nada, ademas de tener Nod32 actualizado a dia de hoy. Ademas me esta creando por todo el disco duro duplicados de todos los archivos que tengo mp3 pero añadiendole al final la extension .vbs, no se que puede ser a ver si alguien tiene una solución.



gracias a todos de antemano.

salu2.

chechuS
Mensajes: 3
Registrado: 19 May 2007, 17:42

Mensaje por chechuS » 19 May 2007, 18:00

me he dado cuenta de que no solo duplica los archivos mp3 en formato .vbs sin tambien me duplica todos los demas archivos como .jpg .doc.



salu2.

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Mensaje por lucl » 19 May 2007, 22:07

pasate estos dos online



https://www.virustotal.com/es/



https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//



y dinos que resultado te dan y ejecuta hijackthis y peganos el log para ver que tienes





[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]




[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos





y por si acaso pasate elitriip y nos pegas el informe que te dejara en C llamado infosat.txt saludos



http://www.zonavirus.com/descargas/elitriip.asp

chechuS
Mensajes: 3
Registrado: 19 May 2007, 17:42

Mensaje por chechuS » 20 May 2007, 02:36

antes de nada muchas gracias por las respuestas. A ver te informo:



el nanoscan no me ha detectado nada

el primer link he hecho un scaneo de virus y tampoco me ha detectado nada. Tambien ha hecho un scaneo de software espia y me ha detectado 5, le he dado a imprimir pantalla para que veas el resultado.



el pasado el Hijackthis y este es el resultado:

Logfile of HijackThis v1.99.1

Scan saved at 1:16:01, on 20/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\sstray.exe

C:\Archivos de programa\Intel\NCS\PROSet\PRONoMgr.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\ARCHIV~1\Sony\SONICS~1\SsAAD.exe

C:\WINDOWS\System32\WScript.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Sony\MD Simple Burner\NetMDSB.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

E:\eMule\emule.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\CheChu\CONFIG~1\Temp\Rar$EX00.984\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\system32\www.MacDonald.com-index.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Archivos de programa\Intel\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SsAAD.exe] C:\ARCHIV~1\Sony\SONICS~1\SsAAD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Winini.dll] C:\WINDOWS\system32\winini.vbs

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_07\bin\jusched.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.ca.com/es/securityadvisor/pestscan/pestscan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1176988073687

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/es/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5339BFA9-DD67-4D89-B587-AEA7D9E12E56}: NameServer = 194.224.52.4,194.224.52.6

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - C:\Archivos de programa\Sony\MD Simple Burner\NetMDSB.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Archivos de programa\Intel\NCS\Sync\NetSvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SSScsiSV.exe





He pasado elitriip y no me ha detectado nada, este es el informe:



Thu Apr 26 23:30:40 2007

EliStartPage v13.76 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Mon May 07 19:54:35 2007

EliStartPage v13.90 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE



Mon May 07 19:57:15 2007

EliStartPage v13.90 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Mon May 07 20:01:48 2007

EliStartPage v13.90 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat May 19 14:56:42 2007

EliStartPage v14.00 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat May 19 15:01:44 2007

EliStartPage v14.00 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun May 20 01:29:19 2007

EliTriIP v3.56 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Sun May 20 01:29:29 2007

EliTriIP v3.56 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 20 May 2007, 11:56

Pues lo unico que se ve atipico es este fichero:



C:\WINDOWS\system32\winini.vbs



mira de enviarnoslo para analizar:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 20-05-2007

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 22 May 2007, 14:17

Vaya un elemento este WININI.VBS !



Pues genera un HTML en muchas carpetas y un XML y modifica pagina de inicio apuntando al HTML de la carpeta de sistema



Se controla con el ELISTARA de hoy, 14.03 como Startpage LIDO, aunque otros le llaman Startpage BK pero McAfee ya utiliza el BK para otro troyano del 2004.



Subiremos dicha versión a esta web para evaluacion a partir de las 20 h GMT



saludos





ms, 22-05-2007

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 22 May 2007, 17:49

[size=200]ENSAYO DEL WININI.VBS. CUIDADO !!! [/size]



Bueno, pues en el ensayo del virusillo de marras, se observa que tiene dobles intenciones, ya que lo primero es generar un HTML al cual redirige el acceso de la pagina de inicio, de forma que el proximo lanzamiento del Internet explorer será acceder y procesar este HTML, y aqui empieza su segunda parte:



- Todos los ficheros HTML existentes en el disco duro son sobreescritos por el contenido del HTML virico, pero manteniendo su nombre, perdiendose en consecuencia los ficheros originales



- Todos los XLS, DOC, JPG, MP3, MPG y VBS son duplicados, creando otro con el mismo nombre y extension pero añadiendo la de VBS, pero su interior lo cambia por el del VBS original del virus , si bien en este caso no se pierden los ficheros originales, pues eliminados los viricos, quedan los antiguos.



Con el ELISTARA 14.03 se controlará y eliminará dicho virus, si bien los HTML originales se habrán perdido, pues han sido sobreescrito por el HTML del virus, los cuales serán eliminados por el ELISTARA, claro.



El VIRUSTOtAL aplicado a este fichero indica:


[quote="VirusTOtal"]
ESTADO: FINALIZADOEste es el resultado completo de analizar el archivo "winini.vbs" que VirusTotal ha recibido el día 22.05.2007 a las 10:05:47 (CET).



Antivirus Version Actualización Resultado

AhnLab-V3 2007.5.21.1 21.05.2007 no ha encontrado virus

AntiVir 7.4.0.23 22.05.2007 HEUR/Exploit.HTML

Authentium 4.93.8 21.05.2007 VBS/StartPage.BO@troj

Avast 4.7.997.0 21.05.2007 no ha encontrado virus

AVG 7.5.0.467 21.05.2007 no ha encontrado virus

BitDefender 7.2 22.05.2007 Type_VBS_Autorun

CAT-QuickHeal 9.00 21.05.2007 no ha encontrado virus

ClamAV devel-20070416 22.05.2007 no ha encontrado virus

DrWeb 4.33 21.05.2007 modification of VBS.Generic.458

eSafe 7.0.15.0 21.05.2007 no ha encontrado virus

eTrust-Vet 30.7.3651 21.05.2007 no ha encontrado virus

Ewido 4.0 21.05.2007 no ha encontrado virus

FileAdvisor 1 22.05.2007 no ha encontrado virus

Fortinet 2.85.0.0 22.05.2007 no ha encontrado virus

F-Prot 4.3.2.48 21.05.2007 VBS/StartPage.BO

F-Secure 6.70.13030.0 22.05.2007 VBS/StartPage.BO@troj

Ikarus T3.1.1.7 22.05.2007 no ha encontrado virus

Kaspersky 4.0.2.24 22.05.2007 Trojan.VBS.StartPage.bk

McAfee 5035 21.05.2007 no ha encontrado virus

Microsoft 1.2503 22.05.2007 Worm:VBS/VBSWG.dr.gen

NOD32v2 2283 21.05.2007 no ha encontrado virus

Norman 5.80.02 21.05.2007 no ha encontrado virus

Panda 9.0.0.4 21.05.2007 Suspicious file

Prevx1 V2 22.05.2007 no ha encontrado virus

Sophos 4.17.0 21.05.2007 no ha encontrado virus

Sunbelt 2.2.907.0 17.05.2007 no ha encontrado virus

Symantec 10 22.05.2007 no ha encontrado virus

TheHacker 6.1.6.120 21.05.2007 no ha encontrado virus

VBA32 3.12.0 21.05.2007 Trojan.VBS.SharesEnable.b#1

VirusBuster 4.3.23:9 21.05.2007 no ha encontrado virus

Webwasher-Gateway 6.0.1 22.05.2007 VBScript.Vulnerable.gen!High (suspicious)





Información adicional

Tamaño archivo: 26225 bytes

MD5: 25cce9675e285bf1dae2ab3565f4e84b

SHA1: ca890904a25ddf5ae431ce9f17dd909a99e644df
[/quote]


Como se ve solo unos 10 de los 30 antivirus detectan este especimen, por lo que cuidado una vez mas ...



Si llega, cambia la pagina de inicio, se abre el I.E. y accede a la HTML de marras, pide descargar e instalar un Active X, que es la madre del cordero ! Si no se acepta, no pasa nada, salvo que en proximos lanzamientos del I.E. se acepte dicho Active X. Si uno se dá cuenta de este cambio, aun se está a tiempo de ejecutar el ELISTARA, sin aceptar el Active X, claro, y asi no se pierden ni los HTML, pero si se acepta...



saludos



ms, 22.05-2007

Responder

Volver a “Foro Virus - Cuentanos tu problema”