Virus que manda archivos por MSN ( "SOLUCIONADO" )

[turcos]

Hola nuevamente muchachos...desde ya darles las gracias por la ayuda brindada, y plantearles ahora un nuevo problema...antes que nada les pido paciencia porque estoy dando indicaciones a distancia de los pasos a seguir para desinfectar la PC (No tengo acceso a la PC)...el tema es que ni bien abren el MSN, este por si solo empieza a mandar mensajes con un archivo comprimido a los contactos...

Aca les dejo el Log y ya recomendé instalar el SP3 de XP en ese equipo...



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:48:21, on 21/07/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\SPAMfighter\sfus.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

C:\ARCHIV~1\ARCHIV~1\PCSuite\DATALA~1\DATALA~1.EXE

C:\ARCHIV~1\Nokia\NOKIAP~1\TRAYAP~1.EXE

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\VM305_STI.EXE

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe

C:\Archivos de programa\SPAMfighter\SFAgent.exe

C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\ctfmon.exe

C:\ARCHIV~1\ARCHIV~1\PCSuite\Services\SERVIC~1.EXE

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.ar

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [DataLayer] C:\ARCHIV~1\ARCHIV~1\PCSuite\DATALA~1\DATALA~1.EXE

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\TRAYAP~1.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [BigDog305] C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Archivos de programa\SPAMfighter\SFAgent.exe" update delay 60

O4 - HKLM\..\Run: [cybd] C:\WINDOWS\system32\cybd.exe \j

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\ARCHIV~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Vegas Red Casino - {D5AE2D6D-38A7-425c-86C0-E4ABBDB9EC68} - C:\Casino\Vegas Red Casino\casino.exe (file missing)

O9 - Extra 'Tools' menuitem: Vegas Red Casino - {D5AE2D6D-38A7-425c-86C0-E4ABBDB9EC68} - C:\Casino\Vegas Red Casino\casino.exe (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1192377561750

O17 - HKLM\System\CCS\Services\Tcpip\..\{00055178-9C33-4B7B-9B44-371B7EAC17A3}: NameServer = 192.168.0.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{7892619A-C234-404E-8A84-C880B93EAD62}: NameServer = 85.255.116.174,85.255.112.82

O17 - HKLM\System\CCS\Services\Tcpip\..\{C93308EC-B4F2-4A04-BA62-22176D2795A8}: NameServer = 85.255.116.174,85.255.112.82

O17 - HKLM\System\CCS\Services\Tcpip\..\{EEB1EA62-DD48-4FAE-AFC4-CF68A231B265}: NameServer = 85.255.116.174,85.255.112.82

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.174 85.255.112.82

O17 - HKLM\System\CS1\Services\Tcpip\..\{00055178-9C33-4B7B-9B44-371B7EAC17A3}: NameServer = 192.168.0.1

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.174 85.255.112.82

O17 - HKLM\System\CS2\Services\Tcpip\..\{00055178-9C33-4B7B-9B44-371B7EAC17A3}: NameServer = 85.255.116.174,85.255.112.82

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.174 85.255.112.82

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Dell Printer Status Watcher (exj0ae330vqazdv) - Unknown owner - C:\WINDOWS\system32\cailp.exe (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe

O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Archivos de programa\SPAMfighter\sfus.exe



--

End of file - 8936 bytes

[lucl]

Que nos envien este archivo



O4 - HKLM\..\Run: [cybd] C:\WINDOWS\system32\[b]cybd.exe [/b]\j



renombrarlo a .VIR, quitandole el exe con el boton derecho del raton , lo analizaremos e informaremos



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y que pasen estos dos antitrojanos y nos pegais el log que dejara en C infosat.txt saludos





http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp

[turcos]

Hola nuevamente, les dejo el log de elitrip y elistara...ademas les envío la muestra solicitada...Muchas gracias y espero su respuesta...

Mon Jul 21 13:33:08 2008

EliStartPage v16.75 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.116.174,85.255.112.82

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jul 21 13:35:39 2008

EliStartPage v16.75 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3103

Nº Total de Ficheros: 29287

Nº de Ficheros Analizados: 10156

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Jul 21 13:43:49 2008

EliStartPage v16.75 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\afe\ITUNESSETUP.EXE --> Eliminado, PWCrack-Pwdump(dropper)



Nº Total de Directorios: 180

Nº Total de Ficheros: 5761

Nº de Ficheros Analizados: 210

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Mon Jul 21 13:52:03 2008

EliStartPage v16.75 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 137

Nº Total de Ficheros: 3186

Nº de Ficheros Analizados: 11

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Jul 21 13:52:30 2008

EliStartPage v16.75 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Jul 21 14:53:04 2008

EliStartPage v16.75 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.116.174,85.255.112.82

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jul 21 23:29:21 2008

EliTriIP v5.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Mon Jul 21 23:30:18 2008

EliTriIP v5.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Mon Jul 21 23:30:40 2008

EliTriIP v5.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3048

Nº Total de Ficheros: 31048

Nº de Ficheros Analizados: 9650

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Jul 21 23:36:13 2008

EliTriIP v5.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 180

Nº Total de Ficheros: 5751

Nº de Ficheros Analizados: 51

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues aparte de lo del SP2 que ya menciona de entrada, vemos que utiliza unos servidores de DNS de Ukraina, lo cual avisa en ELISTARA:



Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.116.174,85.255.112.82



y efectivamente:



85.255.116.174 UA Ukraine 17 Odes'ka Oblast' Odessa 46.4667 30.7333 UkrTeleGroup Ltd. UkrTeleGroup Ltd.



85.255.112.82 UA Ukraine 17 Odes'ka Oblast' Odessa 46.4667 30.7333 UkrTeleGroup Ltd. UkrTeleGroup Ltd.



y no creo que voluntariamente desees utilizar estos de Ukraina, verdad ?



Informate con tu ISP de cuales te recomienda usar, y con el CONFGDNS aplicalos:



http://www.zonavirus.com/descargas/confgdns.asp



Ahora bien, lo del virus de MSN no lo vemos, prueba el ELITRIIP por si acaso,


[quote="para DESCARGAR el ELITRIIP, msc"] http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

y si no detectas nada con él, envianos el fichero que propaga (el que se envia por MSN) para analizar y a continuacion informaremos





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 22-07-2008

[msc hotline sat]

Hemos implementado el control y eliminacion de la muestra recibida en el ELISTARA de hoy 16.76



Esta tarde descargalo y pruebalo:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



saludos



ms, 22-07-2008

[turcos]

Hola nuevamente...parece que el problema se ha solucionado, dejo el reporte del elistara...muchas gracias por todo otra vez...





Tue Jul 22 14:23:59 2008

EliStartPage v16.76 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.116.174,85.255.112.82

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jul 22 14:31:24 2008

EliStartPage v16.76 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.116.174,85.255.112.82

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jul 22 14:31:51 2008

EliStartPage v16.76 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\empresa\GWXBEUB.EXE --> Eliminado, Trojan.Mondera

C:\WINDOWS\system32\CYBD.VIR --> Eliminado, Trojan.Mondera



Nº Total de Directorios: 3239

Nº Total de Ficheros: 29895

Nº de Ficheros Analizados: 10579

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

[turcos]

Nuevamente les queria comentar ya que me habia olvidado...los DNS pregunte al proveedor y son los que el brinda con el servicio...no se porque usará esos pero definitivamente son correctos tal cual como están...

El archivo que manda traté de buscarlo por todos lados y no hay caso, no lo encuentro...solo recuerdo que era una frase en ingles y a continuaciín un fichero llamado Album, de extension .rar y que pesaba aproximadamente entre 200K y 300K...

[msc hotline sat]

Anda yá !



El que te diga que estas son correctas ...



Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.116.174,85.255.112.82



mas bien está distraido !



Ojo, que no las ves mas que en el registro, no vale ir a entorno de red - > protocolo de internet y demás, sino en los O17 del HJT o del SPROCES



Estas que indicamos corresponden a :



85.255.116.174 UA Ukraine 17 Odes'ka Oblast' Odessa 46.4667 30.7333 UkrTeleGroup Ltd. UkrTeleGroup Ltd.



85.255.112.82 UA Ukraine 17 Odes'ka Oblast' Odessa 46.4667 30.7333 UkrTeleGroup Ltd. UkrTeleGroup Ltd.



Pero si estás tan seguro de que son correctas, pues nada, cada vez que entres una URL al navegador para resolver la IP correspondiente, lo harás con dichos servidores de Ukraina... Yo de tí no lo haría, forastero ! :mrgreen: :mrgreen: :mrgreen:



Pero ya que dices que das el Tema por solucionado, haz lo que quieras, pero recuerda lo indicado !



Por nuestra parte está todo dicho y procedemos a cerrar el Tema



saludos



ms, 23-07-2008