BackDoor.Generic10.ATNO (SOLUCIONADO)

[javeguita]

Hola, gente de bien. Pongo en antecedentes- Mediante un pendrive me entró un troyano en el pc. Mi primera infección (que yo sepa.)



El AVG informaba en C:\windows\system32\win.exe de un trojan horse back.generic10.ATNO. Añadía el proceso: C:\WINDOWS\SYSTEM32\wscript.exe. (Una posterior infeccion en otro pc dio como nombre Hupigon13)



Aparentemente el troyano sustituyo la pagina de inicio de IE, y por mas que yo recuperaba la mia habitual y la marcaba como pagina de incio, al volver a abril IE, ahí estaba la invitada no deseada. Ademas me capó msconfig, regedit y me quitó de la vista la pestaña restaurar sistema. No podía abrir las unidades de disco mediante doble clic, solo con boton derecho y aparecía como primera opción, al hacer boton derecho sobre el disco duro, reproduccion automatica. (Había un autorun.inf)



Pude comprobar que renombrando el fichero de WINDOWS\system32\wscript.exe dejaba de enredarme con la pagina de inicio de IE pero el resto de las funcionalidades perdidas, nada de nada, ademas de permanecer esos autorun agazapados, esperando un nuevo pendrive al que saltar.



Despues de leeros por aquí y de pasar algunos antispyware, con el Trojan Remover parece que se ha reparado el tema: ha cambiado o eliminado algunas entradas en el registro con lo que he recuperado restaurar sistema, msconfig, regedit y mi pagina de inicio de IE. Ha renombrado los dos autorun.inf y en windows\system32, ha renombrado el fichero win.exe y wscript. Yo los he eliminado los 4, y he metido una version sana de wscript y de win.com.



El unico rastro aparente que me ha quedado en la pagina de I.E., arriba, a continuación del nombre de la pagina web que en cada momento tenga, me sigue apareciendo como la firma del troyano, una numeracion tal que así .--=0508722265=--. y no sé como quitar eso. No se si tendré que reinstalar I.E. He probado a resetear la pagina de I.E. con el Trojan pero nada, me pone la pagina blank y al lado el dichoso numero.



En fin, os adjunto el log para que alguno se apiade de este pobre viejo ignorante y me diga si la ve limpia (y si sabe como quitar ese dichoso numero de tan infausto recuerdo.)



Gracias, teneis el cielo ganado.





Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:02:25, on 09/03/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Boot mode: Safe mode with network support



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

d:\Mis documentos\guarrerias\HiJackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = .-~= 0508722265 =~-.

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.29.21:80

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [UniPrint] C:\Archivos de programa\UniPrint\Client\SetDfltSettings.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [TrojanScanner] C:\Archivos de programa\Trojan Remover\Trjscan.exe

O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARCHIV~1\AVG\AVG8\avgtray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Archivos de programa\DNA\btdna.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1202463828359

O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15101/CTSUEng.cab

O16 - DPF: {7A252985-D109-46C7-9667-4D30A70006A2} (SIACrypto Class) - http://www.delta.mtas.es/Delta2Web/activex/deltaActiveX.dll

O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - https://puntos.dgt.es/conductores_cert_cpp/pag/capicom.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://aeat.es/imagenes/comun/cactivex.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444554440000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su/ocx/15102/CTPID.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{237667D6-91A7-46A1-BC64-0F811E74A315}: NameServer = 192.168.29.21

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: AVG8 Firewall (avgfws8) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgfws8.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Archivos de programa\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe



--

End of file - 8113 bytes

[lucl]

Prueba elistara y nos pegas el log que te dejara en C infosat.txt



http://www.zonavirus.com/descargas/elistara.asp





ademas vacuna tu pc y pendrives con elipen





http://www.zonavirus.com/descargas/elipen.asp





en caso de que te pidan que nos envies muestra hazlo siguiendo las instrucciones del link siguiente



https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos

[msc hotline sat]

y envianos este fichero, si no lo ha detectado el ELISTARA: (https://foros.zonavirus.com/viewtopic.php?f=11&t=27862&p=154486&hilit=win.exe#p154486)



C:\WINDOWS\SYSTEM32\win.exe



Pues el wscript.exe debe ser el del sistema, que es empleado para cargar el win.exe, y claro, ahora sin el wscript.exe que has eliminado, ya no te lo lanza, si bien impides que lance otros normales, lo cual puede limitar la funcionalidad del windows. Creo que al final, una vez nos hayas enviado el win.exe y hayamos implementado su control en nuestras utilidades, convendrá restaurar este wscript.exe que borraste...





aparte, elimina estas claves:



O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Archivos de programa\DNA\btdna.exe"





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





y actualiza los parches !!!



Platform: Windows XP SP2 (WinNT 5.01.2600)



lanza un windowsupdate e instala el SP3 y posteriores...





saludos



ms, 10-3-2009

[javeguita]

Bueno he pasado el Elistar, (ha sacado otro: un tal spyrealtek) voy a enviar el log del modo que solicitáis. El ultimo rastro aparente ha desaparecido: al preguntarme Elistar si quería borrar la pagina de inicio de IE, he dicho que sí y al abrir I.E. de nuevo, aparece blank pero en esta ocasión ya ha dejado de aparecer la extraña numeración que acompañaba antes al nombre de la pagina web que en cada momento estuviera visitando. Lamento no conservar el fichero win.exe, lo emiminé y borre despues de que Trojan lo anulara añadiéndole a él y a wscript la extensión .vir. estos dos ficheros mas los dos autorun.inf (tambien anulados por Trojan poniendoles un .vir, los he eliminado.) Despues de este infantil acto de venganza, he repuesto wscript que me ha facilitado un compi, sin que Windows le haya hecho asco a esa reposición rapucilla. Mi sorpresa es que no he repuesto win.exe porque ese fichero no aparece en todo windows en otros pc amigos parece que el unico que lo tenía era yo....)



Tue Mar 10 16:22:58 2009

EliStartPage v18.17 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Marzo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Mar 10 16:26:30 2009

EliStartPage v18.17 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Marzo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Mar 10 16:26:48 2009

EliStartPage v18.17 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Marzo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 4200

Nº Total de Ficheros: 36691

Nº de Ficheros Analizados: 11701

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[msc hotline sat]

Dices : [b]"Mi sorpresa es que no he repuesto win.exe porque ese fichero no aparece en todo windows en otros pc amigos parece que el unico que lo tenía era yo"[/b], claro, como que no es del sistema operativo sino que probablemente es un malware..., por esto te lo pediamos para analizar !



Pues ya sin el fichero de marras, actualiza los parches con un windowsupdate y tras reiniciar dinos si persiste algun problema o podemos dar por solucionado el Tema, gracias



saludos



ms, 10-3-2009

[javeguita]

Ya, ya, al ver que no estaba en otros sistemas sanos ha sido cuando he caido en la cuenta de que podía no estar simplemente corrupto sino que todo él fuera un bandido. (Para mi estas cosas son un misterio, como simple usuario.)



En fin, como os decía, con Elistar ha desaparecido el ultimo rastro aparente de la visita de este molesto bicho, por mi parte, tras haber updateado windows y haber colocado y actualizado unas cuantas barreras, el tema es historia porque todo parece en su sitio y funciona bien.



Gracias por vuestra ayuda, indulgencia plena tengáis. Saludos.

[msc hotline sat]

Gracias :mrgreen:





Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 10-3-2009