Virus Troyano al iniciar Windows XP (solucionado)

Hena · Mensaje por **Hena** » 23 Dic 2004, 13:35

Holas, tengo un virus troyano en el Archivo "hosts" ubicado en c:\windows\system32\drivers\etc\ al iniciar el windows el McAfee me lo detecta y me lo limpia supuestamente, lo designa como Troyano y me dice que está en la aplicación rpcxph.exe, luego paso el antivirus, el Adaware y el Spynet actualizados tal y como lo ponéis y el pc sale que está limpio, pero veo que pierdo ancho de banda y que cada vez que inicio el windows wl antivirus me vuelve a limpiar el mismo virus. Sabe alguien como arreglar esto?

Todo esto me ha pasado al cambiar el disco duro y instalar windows xp otra vez con sus diversas actualizaciones de seguridad.

Gracias

Mensaje por **msc hotline sat** » 23 Dic 2004, 13:45

Hay aplicaciones que se instalan indeseadamente y que descargan troyanos y virus cuando el ordenador se conecta a Internet, y por mas que los vata eliminando, le irán bajando a continuacion.

Una de las que está haciendo furor es la HOME SEARCH ASSISTANT

Vea si en Panel de control tiene instalada esta aplicacion. SI es asi, aunque la intente desinstalar no podrá, necesita utilidades.

Diganoslo y adelanto que si usa XP o W2k la utilidad necesaria la descargará de:

http://looking-for.cc/uninstall/HomeSearchAssistant.exe

Y si no, copie un log del HijackThis y veremos que puede ser

Evidentemente, si fuera lo indicado, luego arranque en modo seguro y elimine virus y troyanos con el antivirus y los antispywares.

saludos

ms, 23-12-2004

Hena · Mensaje por **Hena** » 23 Dic 2004, 14:14

Hola otra vez, gracias por contestar tan rápido.

Aludiendo a lo que dices, no tengo en Panel de Control la aplicación que has descrito, entonces te copio el log que me da Hijack a ver si tiene solución:

Logfile of HijackThis v1.99.0

Scan saved at 14:10:42, on 23/12/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\WINDOWS\System32\SystemReg16.exe

C:\WINDOWS\System32\SAgent.exe

C:\WINDOWS\System32\explorer.exe

C:\WINDOWS\System32\rpcxph.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\wpabaln.exe

C:\Documents and Settings\Dani\Configuración local\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe"

O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\Telefonica Kit ADSL USB\CnxDslTb.exe

O4 - HKLM\..\Run: [Registry System16 Checkup Monitor] SystemReg16.exe

O4 - HKLM\..\Run: [Print Driver] SAgent.exe

O4 - HKLM\..\Run: [Microsoft Update Machine] explorer.exe

O4 - HKLM\..\Run: [rpcxsystem] rpcxph.exe

O4 - HKLM\..\RunServices: [Registry System16 Checkup Monitor] SystemReg16.exe

O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe

O4 - HKLM\..\RunServices: [Print Driver] SAgent.exe

O4 - HKLM\..\RunServices: [Microsoft Update Machine] explorer.exe

O4 - HKLM\..\RunServices: [rpcxsystem] rpcxph.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Print Driver] SAgent.exe

O4 - HKCU\..\Run: [Registry System16 Checkup Monitor] SystemReg16.exe

O4 - HKCU\..\Run: [Microsoft Update Machine] explorer.exe

O4 - HKCU\..\RunServices: [Print Driver] SAgent.exe

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ClickYesToContinue/ie/bridge-c46.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103751375380

O17 - HKLM\System\CCS\Services\Tcpip\..\{B001510C-A36B-4D3B-8098-599801AF6809}: NameServer = 80.58.61.250 80.58.61.254

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: McAfee Framework Service - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Mensaje por **msc hotline sat** » 23 Dic 2004, 14:48

Está claro pues, segun lo que le detecta McAfee, que en:

C:\WINDOWS\System32\rpcxph.exe

Tiene un troyano de nombre desconocido, además de que el nombre debe ser aleatorio, pues del mismo no hay referencia alguna.

Por ello, marque con el HJT las dos siguientes entradas :

O4 - HKLM\..\Run: [rpcxsystem] rpcxph.exe

O4 - HKLM\..\RunServices: [rpcxsystem] rpcxph.exe

y dele a FIX, con lo que estas claves le serán anuladas del registro de sistema

A continuacion reinicie, con lo que el fichero en cuestion ya no estará en uso, y desactivando el antivirus nos envia una muestra del mismo a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pegar de este post, y tras recuburlo, lo analizaremos y le contestaremos como respuesta a este Tema.

Tras ello, elimine dicho fichero de:

C:\WINDOWS\System32\rpcxph.exe

y vea si con ello ya se han solucionado los problemas, lo cual a priori no sabemos si será suficiente al desconocer qué mas hace este troyano, hasta que lo analicemos.

saludos

ms, 23-12-2004

C:\WINDOWS\System32\rpcxph.exe

Mensaje por **maura63** » 23 Dic 2004, 15:03

Y del mismo modo elimina pulsando en FIX estas otras.

Tienes [color=red]3 veces [/color]esta entrada en las claves 04

O4 - HKLM\..\Run: [Microsoft Update Machine] explorer.exe

y esta otra 1 vez en clave 016

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ClickYesToContinue/ie/bridge-c46.cab

Saludos

maura63

Mensaje por **msc hotline sat** » 23 Dic 2004, 15:46

Recibida muestra del fichero troyano.

En un primer analisis vemos que es de la familia de los gaobots, de los que hay mas de 1000 variantes, y esta será una mas, inicialmente descontrolada.

Vamos a analizarla a fondo, paralelamente ya la hemos enviado a McAfee para incluirla en nuevos DAT, y seguiremos informando, pero haciendo lo indicado, esperamos que lo haya solucionado en su equipo.

saludos

ms, 23-12-2004

Mensaje por **msc hotline sat** » 23 Dic 2004, 16:01

Avisamos:

Este nuevo bicho modifica el fichero HOSTS, y McAfee al detectar modificaciones viricas lo debe haber eliminado.

Si bien no es critico en máquinas individuales, si está en red, copie el HOSTS de otra máquina desde el cirectorio ---\system32\drivers\etc al miamo directorio de la máquina afectada, para restablecerlo.

saludos

ms, 23-12-2004

caito · Mensaje por **caito** » 23 Dic 2004, 16:30

Fijáte en Agregar o Quitar programas si no está :

Tiny Spy Agent

Si está borra ese programa .

Esta es sospechosa :

O4 - HKLM\..\RunServices: [Print Driver] SAgent.exe

la reconoces ?

Además creo que esta es malware :

O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe

Salu2

caito

Pd :para reparar el Host baja este programa :

http://members.aol.com/toadbee/hoster.zip

Hena · Mensaje por **Hena** » 23 Dic 2004, 16:55

Holas.

He hecho lo que me habéis dicho sobre el troyano y en principio ha desaparecido, el McAfee ya no lo detecta, pero sobre lo que me dice maura63 lo intento hacer y pero al reiniciar el windows y usar el Hijack las líneas vuelven a estar ahí, no se anulan.

Ahora además tengo el problema que al iniciar el explorer, parece que se inicia un programa tipo MS-Dos y se va a diferentes páginas y al ancho de banda sigue siendo mínimo a tal punto que se corta (teniendo ADSL), no se lo que pasa hay algo más...

Gracias.

caito · Mensaje por **caito** » 23 Dic 2004, 16:58

Has leido mi mensaje ?

Salu2

Caito

Mensaje por **maura63** » 23 Dic 2004, 16:59

Al usar XP debes desactivar antes de nada restaurar sistema.

Para ello en el escritorio boton secundario del mousse sobre MI PC, se abrira una ventana pinchamos en la que pone, Propiedades y luego en otra que pone Restaurar, al abrirse marcaremos la casilla desactivar restaurar sistema, aplicamos y aceptamos.

Despues de esto apagamos el equipo y encendemos pulsando repetidas veces la tecla F8, aparecera una pantalla en negro con varias opciones y seleccionamos modo seguro .

Cuando arranque del todo lanza hijackthis, todos los demas programas cerrados. Pulsa scan marcas todas las entradas comentadas que se resistan y tras ello pulsa FIX y acepta.

Comprueba lo comentado por Caito y de haber algo elimina.

En modo normal vuelve a comprobar.

Saludos

maura63

Mensaje por **msc hotline sat** » 23 Dic 2004, 18:33

Acabamos de recibir la confirmacion de McAfee sobre este nuevo gusano, que tal como parecía es de la familia de los gaobot, y que pasaa ser controlado añadiendo el siguiente EXTRA.DAT al respecto:

______________________________________

495 178 159 179 77 51 218 128 63 28 202 210 98 81 226 199

35 68 226 193 96 204 137 34 15 50 140 48 15 115 141 76

12 71 104 191 230 4 43 21 235 247 87 137 145 126 122 168

232 63 42 204 250 186 17 3 122 254 184 213 114 153 104 191

189 134 21 69 143 26 143 234 17 31 162 202 232 63 139 162

254 51 141 116 4 61 80 84 127 85 104 191 68 188 31 151

122 207 197 175 252 208 174 6 232 63 113 132 30 114 217 124

78 94 194 126 82 122 104 191 219 75 192 87 239 242 233 247

112 147 133 83 232 63 99 116 122 85 65 215 210 175 201 120

165 190 104 191 37 24 235 27 37 224 159 184 23 58 62 1

232 63 134 120 7 1 173 220 82 238 57 201 92 212 104 191

237 228 108 44 14 53 194 76 178 87 134 32 232 63 232 115

143 146 127 251 66 60 217 213 28 207 104 191 215 229 206 154

219 49 129 176 50 122 14 65 232 63 171 56 40 234 53 182

144 188 112 189 244 167 104 191 235 44 170 46 166 172 16 158

121 89 149 103 232 63 80 189 254 213 139 18 252 15 225 5

249 2 104 191 238 221 209 89 116 240 27 178 13 248 69 222

232 63 38 255 95 58 170 38 163 0 214 183 48 37 104 191

17 164 197 240 190 234 86 121 251 29 252 38 232 63 14 203

134 206 25 52 31 242 62 181 235 185 128 49 7 54 234 214

99 29 231 179 13 50 141 167 242 50 224 253 242 168 45 42

154 51 141 178 154 51 141 179 65 50 141 170 13 36 141 224

98 85 249 196 108 65 232 239 64 90 238 193 98 64 226 213

121 111 194 255 72 51 201 179 13 51 141 240 93 51 228 179

114 50 141 178 40 178 242 176 13 50 168 50 114 49 141 178

40 178 242 183 13 50 168 50 114 49 141 50 114 50 141 50

114 51 141 50 114 48 141 178 40 178 242 179 13 50 168 50

114 54 141 178 40 178 242 177 13 50 168 50 114 49 141 178

42 178 242 178 13 50 168 50 114 51 141 50 114 50 141 50

114 51 141 184 12 51 141 51 58 51 141 175 1 51 255 187

13 51 141 179 17 51 141 193 140 76 64 177 10 51 195 180

47675 256 12844 336 W32/Gaobot.worm

______________________________________

Como siempre, seleccionar el script entre lineas, copiarlo con CTRL-C, luego abrir el bloc de notas y pegarlo con CTRL-V y guardarlo como EXTRA:DAT y añadir dicho fichero en la carpeta de DATS del antivirus. y ya lo controlará

saludos

ms, 23-12-2004

Hena · Mensaje por **Hena** » 23 Dic 2004, 19:52

Holas de nuevo :P

En principio con todos vuestros consejos he solucionado el problema. El virus me lo ha detectado como me habéis dicho, con el extra DAT y me ha salido el Gaobot y luego los comandos del Hijack tb los he quitado y me ha ido perfecto, ccreo que el problema está arreglado

Daros las gracias porque el problema que llevaba yo casi una semana sin poder solucionar lo habéis resuelto en poco más de una hora, decir que es un foro extraordinario.

Gracias de nuevo.

Hena.

Mensaje por **msc hotline sat** » 23 Dic 2004, 20:22

Pues celebramos haberte sido de utilidad, y añadir que sin tu colaboracion en el envío de la muestra, y la de McAfee en desarrollarnos el EXTRA.DAT, no lo hubieramos logrado.

Entre todos lo logramos, y solucionado el Tema, lo cerramos

saludos

ms, 23-12-2004