DOWNLOADER-XZ

attreyhu · Mensaje por **attreyhu** » 06 Jul 2005, 15:38

El problema...
el macafee cada cierto tiempo detecta este troyano y lo elimina y lo limpia, pero al rato vuelve aparecer.

el ordeandor he notado que ultimamente se queda colgado mucho. y no se porque?
le he pasado a modo prueba de erroes el spyboot y adware y el mcafee virusscan y el clean.

y nada esta perfecto.
pero alt iempo vuelve a coger los troyanos otra vez.
como:
adware-gain
adware rbast.dldr
adware istbar.adldr
toot-tpatch
rbalst.
y el famoso dwonloader xz-
os pego aqui el resultado del hijackthis.

Logfile of HijackThis v1.99.1
Scan saved at 15:33:21, on 06/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\WINDOWS\SYSTEM32\USRshutA.exe
C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\ARCHIV~1\mcafee.com\agent\mcagent.exe
C:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe
C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINDOWS\SOUNDMAN.EXE
c:\archiv~1\mcafee.com\vso\mcvsescn.exe
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\Creative\PC-CAM Center\CAMTRAY.EXE
C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\ARCHIV~1\McAfee.com\PERSON~1\MpfAgent.exe
c:\archiv~1\mcafee.com\vso\mcvsftsn.exe
c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
C:\ARCHIV~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\svchost.exe
c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
C:\Archivos de programa\eMule\emule.exe
C:\Documents and Settings\juan\Mis documentos\seguridad ELEVADA\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [USRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MPFExe] C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\PC-CAM Center\CAMTRAY.EXE
O4 - HKLM\..\Run: [PC-CAM 300 STI App Registration] RunDLL32.exe Pd016pin.dll,RunDLL32EP 513
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSKDetectorExe] C:\Archivos de programa\McAfee\SpamKiller\MSKDetct.exe /uninstall
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [MSKAGENTEXE] C:\ARCHIV~1\McAfee\SPAMKI~1\MSKAgent.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113134006530
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\ARCHIV~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe (file missing)
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe (file missing)
O23 - Service: Distributed Link Tracking Server (TrkWksrv) - Unknown owner - C:\WINDOWS\System32\TrkWksrv.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Unknown owner - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe (file missing)

por cierto los probemas han surgido desde que instale.
el paquete office 2003 por si vale de algo decirlo.

Mensaje por **msc hotline sat** » 06 Jul 2005, 15:58

Posiblemente se trate de una aplicacion instalada que deberá desinstalarse. Abre Panel de Control->gregar Quitar programas y mira si tienes instalado algo raro y desinstalalo. Si se resiste, prueba de hacerlo en modo seguro.

Aparte, mira de enviarnos el fichero que detectes como infectado por el DOWNLOADER-XZ a zonavirus@satinfo.es anexado a un mail, junto con el que te indicamos al final de este post.

Luego, abre el HJT, marca las siguientes claves cpn doble click y eliminalas con FIX:
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe (file missing)
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe (file missing)
O23 - Service: Distributed Link Tracking Server (TrkWksrv) - Unknown owner - C:\WINDOWS\System32\TrkWksrv.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Unknown owner - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe (file missing)

Y esta clave es sospechosa. Mira si la conoces, y obras en consecuencia:
O4 - HKLM\..\Run: [PC-CAM 300 STI App Registration] RunDLL32.exe Pd016pin.dll,RunDLL32EP 513

Y el siguiente fichero es sospechoso: Si no lo conoces, muevelo a una carpeta de cuarentena y arrancando de nuevo nos lo envias junto con el otro que te pedimos al principio:
C:\WINDOWS\SYSTEM32\USRshutA.exe

En dicho mail pon como texto "REF DOWNLOADER-XZ "

y te contestaremos como respuesta a este Tema

saludos
ms, 6-07-2005

attreyhu · Mensaje por **attreyhu** » 06 Jul 2005, 20:14

no puedo eliminar estas entradas, ni aun estando en modo a prueba de errores.

ninguna entrada.
excepto la primera de 04/AOL.

las demas nada de nada.

Mensaje por **msc hotline sat** » 06 Jul 2005, 20:53

A ver, ¿la segunda clave la puedes marcar?
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe (file missing)

(es de una instalacion de Panda en la que falta el fichero)

¿y luego dar FIX ?
¿o ya ni eso? ¿Y dices que ni en modo seguro?

Pendientes de la recepcion del fichero, primero muevelo a cuarentena, luego reinicia y prueba de nuevo eliminar las claves, y nos cuentas tis progresos

saludos
ms, 6-07-2005

attreyhu · Mensaje por **attreyhu** » 09 Jul 2005, 20:58

pues no. Si las puedos señarlar pero cuando le doy a FIX. Siguen ahi todas las filas. todas todas.

el fichero con el viru. al pasarle el mcafee, borro el virus porque no era posible limpiar, por eso no os lo puedo mandar. Pero decia que estaba en el ejecutable de clonedvd. (¿?¿?¿?¿?).

pero la cosas esta haciendo estragos. porque la conexion a internet que tengo son 4 megas, y vaaaaaaa cada vez peor empicado. y los ordeanndores cuando se encienden aparecen las barras de color rojo o rosa (segun le parece) y los tengo que volver a reinciar para que asi, todo sea normal (aparentemente).
y problemas incluso con el messenger se cierra y abre cuando a el le da la gana.

p.d. (He notado que cuando el emule esta puesto, cosa que llevo con el mas de 2 años, la navegacion disminuye, pero con la capacidad de poder navegar con normalidad y rapidez, ahora no es asi. desde que pongo el emule, tardo en abrir una pagina unos 2 minutos laaaargos)
el misterio? pasado el mcafee (acutlizado) pasado el spyboot (actualizado) pasado el adware(actuliazado) y todo esto sin restaurar sistema y en en el modo prueba de fallos.
asi que....

Mensaje por **msc hotline sat** » 09 Jul 2005, 21:19

Si estás usando emule, este es tu problema !!!

Con los programas P2P se descargan todo tipo de virus y troyanos, e incluso este clonedvd en el que dices detectar el downloader, es la prueba.

Y los spywares que te aparecen son lo que el Downloader te ha descargado, ya que esta es su funcion

Desinstala el emule y cualquier otro P2P y con un poco de cuidado podrás tener a raya los bichos, pero si tienes comparticiones P2P, es lo minimo que te puede pasar.

Nosotros únicamente lo utilizamos para descargar nuevos virus a controlar, en una máquina aislada que tenemos a tal fin.

saludos
ms, 9-07-2005