Problemas con msnt32.exe

[Roberto_95]

He tenido problemas. Cuando me conecto a Internet me deja abrir varias páginas (no se carga la página de inicio cuando tengo dos o mas abiertas). Tampoco me dejaba abrir el administrador de tareas y no me dejaba abrir el antivirus Norton 2004. Pude comprobar que el archivo msnt32.exe se había creado en la carpeta system32 despues de una mañana que me conecte. Conseguí pasarlo a la papelera de reciclaje pero aun así parece que el equipo sigue con problemas. A qué puede ser debido?

[msc hotline sat]

Ruego nos envies este fichero MSNT.EXE, ya que al parecer forma parte de un desconocido malware:


[quote]Report created: 30.04.2005 00:23:49



Automatic Sandbox analysis of unknown malware (W32/Backdoor)

[ General information ]

* **Locates window "NULL [class mIRC]" on desktop.

* File length: 67363 bytes.



[ Changes to filesystem ]

* Creates file C:\WINDOWS\SYSTEM\msnt32.exe.

* Creates file msdirectx.sys.

* Creates file

* .



[ Changes to registry ]

* Creates value "Compaq32 Service Drivers"="msnt32.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".

* Creates value "Compaq32 Service Drivers"="msnt32.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".

* Creates key "HKLM\Software\Microsoft\OLE".

* Sets value "Compaq32 Service Drivers"="msnt32.exe" in key "HKLM\Software\Microsoft\OLE".

* Sets value "Compaq32 Service Drivers"="msnt32.exe" in key "HKLM\System\CurrentControlSet\Control\Lsa".

* Creates value "Compaq32 Service Drivers"="msnt32.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".

* Creates key "HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices".

* Sets value "Compaq32 Service Drivers"="msnt32.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices".

* Creates key "HKCU\Software\Microsoft\OLE".

* Sets value "Compaq32 Service Drivers"="msnt32.exe" in key "HKCU\Software\Microsoft\OLE".

* Creates key "HKCU\Software\SYSTEM\CurrentControlSet\Control\Lsa".

* Sets value "Compaq32 Service Drivers"="msnt32.exe" in key "HKCU\Software\SYSTEM\CurrentControlSet\Control\Lsa".

* Sets value "EnableDCOM"="N" in key "HKLM\Software\Microsoft\OLE".

* Sets value "restrictanonymous"="" in key "HKLM\System\CurrentControlSet\Control\Lsa".

* Sets value "Start"="" in key "HKLM\System\CurrentControlSet\Services\SharedAccess".



[ Network services ]

* Looks for an Internet connection.

* Connects to "uncanny.chiriroza.net" on port 6667 (TCP).

* Connects to IRC server.

* IRC: Uses nickname ikamjxmjtr.

* IRC: Uses username ikamjxmjtr.

* IRC: Joins channel #bcuzz with password test.

* Attempts to delete share named "IPC$" on local system.

* Attempts to delete share named "ADMIN$" on local system.

* Attempts to delete share named "C$" on local system.

* Attempts to delete share named "D$" on local system.



[ Process/window information ]

* Creates a mutex SDNB2.0beta.

* Will automatically restart after boot (I'll be back...).

* Enumerates running processes.

* Enumerates running processes several parses....


[/quote]

Envianoslo a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pegar de este post, para poder contestarte como respuesta de este tema con el resultado del analisis y ofrecerte la utilidad para su eliminacion automatica.



saludps



ms, 23-05-2005

[msc hotline sat]

Recibido fichero MSNT32.EXE



McAfee lo identifica como SDBOT.worm,.gen.H



Pasamos a incluirlo en el ELITRIIP.EXE que a partir de la version 1.30 de hoy ya controlará y eliminará esta variante.



saludos



ms, 23-05-2005

[msc hotline sat]

Subida la versiom 1.30 del ELITRIIP.EXE a esta web.



http://www.zonavirus.com/descargas/elitriip.asp



Puedes descargarla y probarla para control y eliminacion del nuevo SDBOT con gusano MSNT32.EXE, aparte de otras novedades:



---v1.30---(23 de Mayo del 2005) (para los Mytobs.-CR Y Muestra de SdBot.worm.gen.H "MSNT32.EXE")





saludos



ms, 23-05-2005