Backdoor.Generic.155138 y otros (SOLUCIONADO)

[San_Medir]

Hola,

he intentado pasar Kaspersky on line pero se me reiniciaba el ordenador poco antes de acabar y no he logrado sacar un informe. A falta de pocos archivos he visto que me detectaba el programa Mirc y un ejecutable llamado powerpoint... y algo más.exe como troyanos. Al no poder finalizarlo en tres intentos, he pasado Bit Defender y el (escueto) informe es este:
[quote]*BitDefender Online Scanner - Real Time Virus Report* Generated at: Mon, Feb 23, 2009 - 21:18:08 ------------------------------------------------------------------------ *Scan Info* Scanned Files 497411 Infected Files 15 * * *Virus Detected* Backdoor.Generic.155138 2 Virtool.Wpakill.AK 1 Rootkit.2178 1 Win32.Worm.P2P.Puce.G 1 Worm.Generic.23645 2 Worm.Generic.42422 2 Rootkit.1744 1 Trojan.Generic.1162614 5 ------------------------------------------------------------------------ This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world. [/quote]
Luego he pasado NOD32 on line y no ha encontrado nada.



El archivo infosat es el siguiente (no ha encontrado nada):
[quote]
Mon Feb 23 21:28:13 2009

EliTriIP v5.60 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 4645

Nº Total de Ficheros: 44549

Nº de Ficheros Analizados: 14001

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Feb 23 21:28:41 2009

EliTriIP v5.60 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 696

Nº Total de Ficheros: 13828

Nº de Ficheros Analizados: 491

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Feb 23 21:28:52 2009

EliBagle v12.25 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Mon Feb 23 21:28:57 2009

EliBagle v12.25 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 696

Nº Total de Ficheros: 13828

Nº de Ficheros Analizados: 277

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0[/quote]

Tengo todos los parches de Microsoft y el antivirus actualizado. Pongo el log de hijackthis por si quedara alguna clave por eliminar.
[quote]Logfile of HijackThis v1.99.1

Scan saved at 22:09:06, on 23/02/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Java\jre6\bin\jusched.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\ASUS\ASUS Remote\RemoteControlAppl.exe

C:\Archivos de programa\CyberLink\PowerCinema\PCMService.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\OpenOffice.org 2.4\program\soffice.exe

C:\Archivos de programa\OpenOffice.org 2.4\program\soffice.BIN

C:\WINDOWS\ATKKBService.exe

C:\Archivos de programa\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\CyberLink\PowerCinema\Kernel\TV\CLSched.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\SanMedir\CONFIG~1\Temp\Rar$EX00.234\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [RemoteControl] C:\Archivos de programa\ASUS\ASUS Remote\RemoteControlAppl.exe

O4 - HKLM\..\Run: [PCMService] "C:\Archivos de programa\CyberLink\PowerCinema\PCMService.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: OpenOffice.org 2.4.lnk = C:\Archivos de programa\OpenOffice.org 2.4\program\quickstart.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: &Enlaces relacionados - C:\Documents and Settings\Coro\Datos de programa\TuneUp Software\TuneUp Utilities\Web\gbacklinks.htm

O8 - Extra context menu item: Traducir la página con Google - C:\Documents and Settings\SanMedir\Datos de programa\TuneUp Software\TuneUp Utilities\Web\gtranslate.htm

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1216551120250

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Archivos de programa\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Archivos de programa\CyberLink\PowerCinema\Kernel\TV\CLSched.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe
[/quote]

[lucl]

Pasate elistara y nos vuelves a pegar el log de infosat.txt , este te encontrara algo seguro saludos





http://www.zonavirus.com/descargas/elistara.asp

[msc hotline sat]

Vemos que ya se "cargó" las posibles muestras, asi que poco podemos ayudarle y tampoco va a servir este Tema al foro...



Aparte de ver lo que nos diga el ELISTARA, que lucl nos augura que encontrará algo ...??? (haberlas hailas :mrgreen: ) puedes borrar estas claves de una instalacion anterior del Bit Defender:



O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)



O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)



recuerda:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y ademas, cuentanos si aun persiste alguna anomalia, o podemos dar por solucionado el Tema, gracias



saludos



ms, 24-2-2009

Ref SP/CAT/BCN+41.4+2.2

[San_Medir]

Siento haber limpiado antes de postear, no me fijé en esta opción, pensé que haría como kaspersky sacando solo el informe.

El informe de Elistara:



Tue Feb 24 10:23:44 2009

EliStartPage v18.07 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 3134

Nº Total de Ficheros: 26421

Nº de Ficheros Analizados: 6625

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Tue Feb 24 10:24:01 2009

EliStartPage v18.07 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2009)

--------------------------------------------------

Tue Feb 24 10:24:08 2009

EliStartPage v18.07 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 696

Nº Total de Ficheros: 13828

Nº de Ficheros Analizados: 642

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Las anomalías que notaba eran al ejecutar ejercicios on line en un campus virtual . Están hechos en java y directX y notaba que me estaba equivocando demasiado al marcar casillas, era como si mi elección quedara grabada desplazada. Puede que no tenga nada que ver y todo se deba a mi mala cabeza y mis despistes, pero fue lo que me encendió la luz de alarma y más contando que prácticamente es lo único que uso en Windows (el campus virtual no es compatible con linux por esos controles directx y flash, y cosillas así). Esta tarde hago las pruebas a ver si sigo con fallos, luego posteo para dar por finalizado el tema.

Gracias por la ayuda y el interés.

[msc hotline sat]

ok, esperamos el "veredicto final" indicado. :|



saludos



ms, 24-2-2008

[San_Medir]

Parece que todo va bien, y en los ejercicios del campus virtual ya no he notado "desplazamientos" en las respuestas tipo test, (serán tonterías mías y no tendrá nada que ver con los virus, pero ya es casualidad).

He intentado volver a pasar kaspersky y vuelve a dar pantallazo azul y reinicio cuando está acabando (sobre el 97%), cuando está acabando de revisar el disco duro de datos (D:), pero tampoco creo que tenga nada que ver con malware, más bien será otro tipo de incidencia.

Gracias otra vez por toda la ayuda.

Saludos.

[msc hotline sat]

Por si fuera debido a un problema en la asignacion de ficheros, lanza una COMPROBACION DE ERRORES:



MIPC -> Boton derecho sobre unidad C -> Priopiedades -> Herramientas -> Comprobacion de errores



Y tras ello prueba de nuevo el AV ONLINE, ahora que, si ya no tienes problemas, nos lo indicas y daremos por solucionado el Tema



saludos



ms, 24-2-2009

[San_Medir]

El disco c: sin errores, el d: no acaba chdisk porque se reinicia (supongo que ahí habrá un problema, voy haciendo back up :roll: ). Kaspersky no encuentra nada en el c: y en el d: me reinicia el ordenador, así que creo que el problema de los virus ya está solucionado. Me pongo a buscar solución al problema del disco duro... a ver si hay suerte y con un formateo a bajo nivel se soluciona.

[msc hotline sat]

No le recomendamos el formateo a bajo nivel, pero como que ya hemos visto que va de por libre, y dado que ya no hay virus en C:, y el D: lo va a formatear, damos el Tema por solucionado y procedemos a cerrarlo



saludos



ms, 25-2-2009