Virus Backdoor

[dany_carp23]

Hola gente!! Hace un tiempo atras recurri a ustedes para eliminar un virus, y les estare siempre agradecida por su ayuda y paciencia. Ahora nuevamente necesito de su ayuda!! Hace unos dias cada vez que enciendo mi PC aparece un cartel que dice "proteccion de archivos de Windows" como si hubieran sido borrados los propios del XP original, y el origen es el archivo Winlogon. Pase el antivirus BitDefender y reconoce un virus llamado Backdoor.Rustock.NFD ubicado en System32/drivers/beep.Sys. Este archivo aparece y desaparece constantemente cuando es bloqueado por el antivirus y es imposible eliminarlo. Tengo el Hijackthis ya instalado pero no recuerdo como enviarles mi informe del mismo. Les enviare todo lo que necesiten. Desde ya muchas gracias y espero una pronta respuesta. Saludos... Daniela.

[msc hotline sat]

El log del HJT lo debes postear con un copiar en tu proximo post, de respuesta a este foro, y prueba el ELITRIIP , que es la utilidad con la que controlamos los backdoors,


[quote="para DESCARGAR el ELITRIIP, msc"] http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



y si aun no lo controla, envianos dicho fichero para analizar:



C:\windows\system32\drivers/beep.Sys





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 4-3-2009

[dany_carp23]

Buenasss... aqui les dejo el informe del Hijackthis:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:59:30, on 04/03/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18372)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\BitDefender\BitDefender Update Service\livesrv.exe

C:\Archivos de programa\BitDefender\BitDefender 2009\vsserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\mHotkey.exe

C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

C:\Archivos de programa\BitDefender\BitDefender 2009\bdagent.exe

C:\Archivos de programa\RocketDock\RocketDock.exe

C:\Archivos de programa\uTorrent\uTorrent.exe

C:\Archivos de programa\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\BitDefender\BitDefender 2009\seccenter.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Archivos de programa\internet explorer\iexplore.exe

C:\Archivos de programa\internet explorer\iexplore.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~1\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Archivos de programa\BitDefender\BitDefender 2009\IEToolbar.dll

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [BDAgent] "C:\Archivos de programa\BitDefender\BitDefender 2009\bdagent.exe"

O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Archivos de programa\BitDefender\BitDefender 2009\IEShow.exe"

O4 - HKCU\..\Run: [RocketDock] "C:\Archivos de programa\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [uTorrent] "C:\Archivos de programa\uTorrent\uTorrent.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100465 -"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; (R1 1.5); .NET CLR 1.1.4322; .NET CLR 2.0.50727; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)" -"http://www.miniclip.com/games/under-arms/es/"

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: DSLMON.lnk = ?

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: &Clean Traces - C:\Archivos de programa\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm

O8 - Extra context menu item: Agregar a &Windows Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)

O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab

O16 - DPF: {001EE746-A1F9-460E-80AD-269E088D6A01} (Infotl Control) - http://site.ebrary.com/lib/unsamsp/support/plugins/ebraryRdr.cab

O16 - DPF: {03B39B10-9AB9-4DBB-8189-7F76E0CE5F3F} (FavImport Class) - https://favorites.live.com/cab/ImportAx.cab?v=13,0,1609,00

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-AR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6218F7B5-0D3A-48BA-AE4C-49DCFA63D400} (CSEQueryObject Object) - http://www.myheritage.es/Genoogle/Components/ActiveX/SearchEngineQuery.dll

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://danycarp23.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{69B2843E-5894-463E-BC40-2BB08FD78713}: NameServer = 200.45.191.35,200.45.191.40

O17 - HKLM\System\CCS\Services\Tcpip\..\{AA0E8CD3-D35D-4730-8BA5-4D99720CC021}: NameServer = 200.45.191.35 200.45.48.233

O17 - HKLM\System\CS1\Services\Tcpip\..\{69B2843E-5894-463E-BC40-2BB08FD78713}: NameServer = 200.45.191.35,200.45.191.40

O17 - HKLM\System\CS2\Services\Tcpip\..\{69B2843E-5894-463E-BC40-2BB08FD78713}: NameServer = 200.45.191.35,200.45.191.40

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~1\Office12\GR99D3~1.DLL

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: BitDefender Arrakis Server (arrakis3) - BitDefender S.R.L. http://www.bitdefender.com - C:\Archivos de programa\Archivos comunes\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe

O23 - Service: Servicio de transferencia inteligente en segundo plano (BITS) - Unknown owner - C:\WINDOWS\

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: BitDefender Desktop Update Service (livesrv) - BitDefender SRL - C:\Archivos de programa\Archivos comunes\BitDefender\BitDefender Update Service\livesrv.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: BitDefender Virus Shield (vsserv) - BitDefender S. R. L. - C:\Archivos de programa\BitDefender\BitDefender 2009\vsserv.exe

O23 - Service: Actualizaciones automáticas (wuauserv) - Unknown owner - C:\WINDOWS\



--

End of file - 8028 bytes







Les cuento que intente ejecutar el Elitriip 5.60 y me aparece un cartel que indica que esta desactualizado. Tambien intente enviarles el archivo "beep" pero ni siquiera me deja comprimirlo. Me dice que el acceso no esta autorizado. Espero pasos a seguir. Muchas Gracias.

[julibaga]

A parte de lo que te diga [color=#BF0000]msc hotline sat[/color] al respecto del log, actualizar el windows con el SP3 y parches posteriores, sobre todo los parches [b]MS08-067[/b] y [b]MS08-078[/b]

[url=http://www.microsoft.com/downloads/thankyou.aspx?familyId=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displayLang=es]SP3 para Windows XP[/url]
[quote="dany_carp23"]Platform: Windows XP SP2 (WinNT 5.01.2600)[/quote]
Y sí, efectivamente tienen que actualizar el Elitriip, que espero lo suban en un rato más.

[dany_carp23]

Les dejo el informe del Elitriip:



Thu Mar 05 21:16:24 2009

EliTriIP v5.61 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 11264

Nº Total de Ficheros: 175817

Nº de Ficheros Analizados: 70386

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Les cuento que instale el PC Tools Antivirus y ya no aparece le famoso cartel... no se si es el programa o el Elitriip el que lo logra. Tambien puedo comprimir el archivo Beep.Sys, ahora se los envio. Espero que se haya solucionado, de todas formas espero su opinion. Saludos.

[julibaga]

Si instalaste el PCtools, no te olvides de desinstalar el Bitdefender. Dos antivirus te causarán problemas.

Seguro que los has hecho ya, pero no está de más comentártelo.

[msc hotline sat]

Pues tras actualizar los parches con el windowsupdate, ya que ello te falta a todas luces :



Platform: Windows XP SP2 (WinNT 5.01.2600)



Lanzas esta vez el ELISTARA y nos posteas todo el contenido del infosat. no solo el ultimo bloque, pues del ELITRIIP te has dejado la mitad (analisis por Accion Directa), y asi veremos lo de uno y lo del ultimo indicado:




[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



Pero prueba dicha utilidad solo despues de actualizar los parches y reiniciar, gracias.



saludos



ms, 6-3-2009

[msc hotline sat]

Recibida una muestra del Beep.sys empaquetada pero sin password virus, y consecuentemente ha sido interceptada y eliminado su contenido.



Vuelve a enviarnosla, pero empaquetada con password virus:







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 9-3-2009