Ayuda Tengo Virus

Estado
Cerrado para nuevas respuestas

ticogotenks

Nuevo Miembro
Miembro
#1
Hola a todos

Primero tengo adsl 256k , blackice

win 2K pro

Tengo instalado:

Windows 2000 pro

IE (actualizado)

Mcafee security center

AVG Control center

Blackice pc proteccion

Spy sweeper

Spy subtract

Ad-aware pro

Spyware-blaster

Spybot search&destroy

y el Windows update recientemente

todos losprogramas updatiados hoy

Estos programas los tengo instalados desde hace unos años y nunca me an dado problema

El AVG Control center lo tengo instalado ya hace unos meses

Aver el test automatico del AVG pero no me deja eliminarlos.

Leí que este virus afecta la vulnerabilidad de la consola de Java Virtual Machine me instale la ultima version, creo que la 1.4.2_06

Lei por hay que es un un gusano algo así RBOT-QL.

A mi se me queda pegado el PC y el error que me sale es el siguiente

RQL_NOT_LESS_OR_EQUAL o algo asi, ahora comprendo que este gusano virus o era el responsable a este problema, cuelge del PC.

una pregunta es eso no mas lo que hace al PC este gusano?

Y como lo elimino

PD:

estos son los archivos

"C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-1c958711-313a6543.zip:\GetAccess.class","Virus identified Java/ByteVerify","Infected, Embedded object"

"C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-1c958711-313a6543.zip:\InsecureClassLoader.class","Virus identified Java/ByteVerify","Infected, Embedded object"

"C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-1c958711-313a6543.zip:\Installer.class","Virus identified Java/ByteVerify","Infected, Embedded object"

"G:\Documents and Settings\ticogotenks.CASA\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-76ba5970-2506129d.zip:\GetAccess.class","Virus identified Java/ByteVerify","Infected, Embedded object"

"G:\Documents and Settings\ticogotenks.CASA\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-76ba5970-2506129d.zip:\InsecureClassLoader.class","Virus identified Java/ByteVerify","Infected, Embedded object"

"G:\Documents and Settings\ticogotenks.CASA\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-76ba5970-2506129d.zip:\Installer.class","Virus identified Java/ByteVerify","Infected, Embedded object"

PD: lo que no entiendo es porque no puedo eliminar los virus, es porque es la versión AVG Free o porque lo tengo mal configurado ?
 

alnitak

Ex-Admin
Miembro
#2
Los RBOT son una familia de gusanos/troyanos controlables a través del IRC. A pesar de las diferencias que puedan existir, todos explotan vulnerabilidades en sistemas operativos no parcheados y se propagan a través de unidades compartidas violando los passwords ademas de implementar otros métodos de infeccion que pueden variar de versión a version.

No creo que lo archivos que nombras tengan nada a que ver con un gusano de la familia RBOT ya que este estará escrito en Visual C++ y no en Java.

De AVG tengo pesima opinion, por favor instala Kaspersky, actualizalo y escaneate.

Por favor, bajate el HijackThis 1.99.0 descomprimelo en c:\ ejecutalo, dale a Do a system scan and save a log, salva el log y copialo aquí.
 

ticogotenks

Nuevo Miembro
Miembro
#3
No creo que lo archivos que nombras tengan nada a que ver con un gusano de la familia RBOT ya que este estará escrito en Visual C++ y no en Java.
primero los archivos que identifico el AVG dijo que están infectados con ","Virus identified Java/ByteVerify"

yo lei por internet que ese era de la familia de gusano RBOT. por lo que tu me dises esto es falso

Lo que pasa es que el PC se me queda pegado, a veces me sale una linea gruesa roja en la parte superior en la pantalla de forma horizontal, otras veces se me queda congelado y en otras se me va a negro y el error que me dice es: RQL_NOT_LESS_OR_EQUAL o algo.

En resumen tengo ","Virus identified Java/ByteVerify" la cual no pertenece segun lo que tu medices la familia de gusano RBOT.
 

ticogotenks

Nuevo Miembro
Miembro
#4
aca esta Logfile of HijackThis v1.99.0

Scan saved at 3:20:53, on 28-12-2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Archivos de programa\ISS\BlackICE\blackd.exe

C:\WINNT\System32\cisvc.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\WINNT\System32\svchost.exe

c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

C:\WINNT\system32\nvsvc32.exe

C:\Archivos de programa\ISS\BlackICE\rapapp.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\Archivos de programa\UPSmart\UPServ.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\Archivos de programa\WinPoET\WrOS.EXE

C:\WINNT\system32\MsPMSPSv.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe

C:\Archivos de programa\UPSmart\UPSmart.EXE

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\WinPoET\winpppoverethernet.exe

C:\WINNT\SOUNDMAN.EXE

C:\Archivos de programa\D-Tools\daemon.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe

C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

C:\ARCHIV~1\mcafee.com\vso\mcvsescn.exe

C:\Archivos de programa\McAfee\McAfee QuickClean\Plguni.exe

C:\WINNT\system32\ctfmon.exe

C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Archivos de programa\ISS\BlackICE\blackice.exe

C:\Archivos de programa\MSI\Core Center\CoreCenter.exe

c:\archiv~1\mcafee.com\vso\mcvsftsn.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINNT\System32\cidaemon.exe

C:\Archivos de programa\FlashGet\flashget.exe

C:\Archivos de programa\TDS3\tds-3.exe

C:\WINNT\msagent\AgentSvr.exe

C:\WINNT\System32\MsiExec.exe

C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.naupoint.com/toolbar/ie.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

F2 - REG:system.ini: UserInit=

O1 - Hosts: 200.199.201.200 www.romell.brturbo.com

O1 - Hosts: 200.199.201.200 www.astromans.brturbo.com

O1 - Hosts: 200.199.201.200 www.acruz.brturbo.com

O1 - Hosts: 200.199.201.200 www.cyloau.brturbo.com

O1 - Hosts: 200.199.201.200 www.avelinoascb.brturbo.com

O1 - Hosts: 200.199.201.200 www.recorde.brturbo.com

O1 - Hosts: 200.199.201.200 www.heloisa.pimentel.brturbo.com

O1 - Hosts: 200.199.201.200 www.arthurtuoto.brturbo.com

O1 - Hosts: 200.199.201.200 www.jonasaguiar.brturbo.com

O1 - Hosts: 200.199.201.200 www.vrcunha.brturbo.com

O1 - Hosts: 200.199.201.200 www.gsleite.brturbo.com

O1 - Hosts: 200.199.201.200 www.assistmed.brturbo.com

O1 - Hosts: 200.199.201.200 www.dirkbohe.brturbo.com

O1 - Hosts: 200.199.201.200 www.raso723.brturbo.com

O1 - Hosts: 200.199.201.200 www.artur_daniel.brturbo.com

O1 - Hosts: 200.199.201.200 www.aparatto.brturbo.com

O1 - Hosts: 200.199.201.200 www.apaepg.brturbo.com

O1 - Hosts: 200.199.201.200 www.kkomunicacao.brturbo.com

O1 - Hosts: 200.199.201.200 www.tecnosan.brturbo.com

O1 - Hosts: 200.199.201.200 www.costalima1.brturbo.com

O1 - Hosts: 200.199.201.200 www.costalima1.brturbo.com

O1 - Hosts: 200.199.201.200 www.figueiredos.brturbo.com

O1 - Hosts: 200.199.201.200 www.figueiredos.brturbo.com

O1 - Hosts: 200.199.201.200 www.vrcunha.brturbo.com

O1 - Hosts: 200.199.201.200 www.jonasaguiar.brturbo.com

O1 - Hosts: 200.199.201.200 www.alandersonalves.brturbo.com

O1 - Hosts: 200.199.201.200 www.moisesalbino.brturbo.com

O1 - Hosts: 200.199.201.200 www.jrlima.brturbo.com

O1 - Hosts: 200.199.201.200 www.vivicathala.brturbo.com

O1 - Hosts: 200.199.201.200 www.jrlima.brturbo.com

O1 - Hosts: 200.199.201.200 www.anvily.brturbo.com

O1 - Hosts: 200.199.201.200 www.bruno2110.w6.ru

O1 - Hosts: 200.199.201.200 www.gonzatto.brturbo.com

O1 - Hosts: 200.199.201.200 www.amacarvalho.brturbo.com

O1 - Hosts: 200.199.201.200 www.eunicequeiroz.brturbo.com

O1 - Hosts: 200.199.201.200 www.romell.brturbo.com

O1 - Hosts: 200.199.201.200 www.sodisanet.brturbo.com

O1 - Hosts: 200.199.201.200 www.badete.brturbo.com

O1 - Hosts: 200.199.201.200 www.advocacialuicari.brturbo.com

O1 - Hosts: 200.199.201.200 www.angelasl.brturbo.com

O1 - Hosts: 200.199.201.200 www.danielcarloscolella.brturbo.com

O1 - Hosts: 200.199.201.200 www.angelanapoli.brturbo.com

O1 - Hosts: 200.199.201.200 www.mariadoismiledois.brturbo.com

O1 - Hosts: 200.199.201.200 www.sosso.brturbo.com

O1 - Hosts: 200.199.201.200 www.dwolff.brturbo.com

O1 - Hosts: 200.199.201.200 www.colegioalfa.brturbo.com

O1 - Hosts: 200.199.201.200 www.ortiga.brturbo.com

O1 - Hosts: 200.199.201.200 www.pma6424443.brturbo.com

O1 - Hosts: 200.199.201.200 www.saras.junior.brturbo.com

O1 - Hosts: 200.199.201.200 www.deutschbrazil.brturbo.com

O1 - Hosts: 200.199.201.200 www.solange2.brturbo.com

O1 - Hosts: 200.199.201.200 www.sol.vento.brturbo.com

O1 - Hosts: 200.199.201.200 www.sofiarcacorretora.brturbo.com

O1 - Hosts: 200.199.201.200 www.solvi.brturbo.com

O1 - Hosts: 200.199.201.200 www.solvosch.brturbo.com

O1 - Hosts: 64.91.255.87 www.dcsresearch.com

O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Archivos de programa\DAP\DAPBHO.dll

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Archivos de programa\TechSmith\SnagIt 7\SnagItBHO.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\ARCHIV~1\FlashFXP\IEFlash.dll (file missing)

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Archivos de programa\TechSmith\SnagIt 7\SnagItIEAddin.dll

O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Archivos de programa\DAP\DAPIEBar.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET\winpppoverethernet.exe"

O4 - HKLM\..\Run: [z-wrdialer] "C:\Archivos de programa\WinPoET\wrdialer.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\system32\PSDrvCheck.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKLM\..\Run: [McRegWiz] c:\ARCHIV~1\mcafee.com\agent\mcregwiz.exe /autorun

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [QuickClean Imonitor] C:\Archivos de programa\McAfee\McAfee QuickClean\Plguni.exe /START

O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe

O4 - Startup: PowerReg Scheduler.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: BlackICE PC Protection.lnk = C:\Archivos de programa\ISS\BlackICE\blackice.exe

O4 - Global Startup: CoreCenter.lnk = C:\Archivos de programa\MSI\Core Center\CoreCenter.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: VIA RAID TOOL.lnk = C:\Archivos de programa\VIA\RAID\raid_tool.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Archivos de programa\Yahoo!\Messenger\yhexbmes0521.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Archivos de programa\Yahoo!\Messenger\yhexbmes0521.dll

O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\ARCHIV~1\DAP\DAP.EXE

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {0F9B4CA4-A30F-480A-841D-69B45C50A8F8} (SekureL0gin.SekureKontrol) - http://secure2.comned.com/signuptemplates/AktiveSekurity.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,84/mcinsctl.cab

O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/m...,21/mcgdmgr.cab

O16 - DPF: {BDD2F926-8158-4F62-9E0D-B3B75FD1F07F} (McObjectFactory Class) - http://download.mcafee.com/molbin/shared/M...0,2/mcmysec.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E64375D9-E096-482F-9580-0B5B12427973}: NameServer = 200.28.4.129 200.28.4.130

O23 - Service: Servicio de alerta - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Administración de aplicaciones - Unknown - C:\WINNT\system32\services.exe

O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: BlackICE - Internet Security Systems, Inc. - C:\Archivos de programa\ISS\BlackICE\blackd.exe

O23 - Service: Examinador de equipos - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Cliente DHCP - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINNT\System32\dmadmin.exe

O23 - Service: Administrador de discos lógicos - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Cliente DNS - Unknown - C:\WINNT\System32\services.exe

O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Servicio de fax - Unknown - C:\WINNT\system32\faxsvc.exe

O23 - Service: Servidor - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Estación de trabajo - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Servicio de ayuda TCP/IP NetBIOS - Unknown - C:\WINNT\System32\services.exe

O23 - Service: McAfee.com McShield - Unknown - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: Messenger - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: Inicio de sesión en red - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Proveedor de asistencia de seguridad LM de Windows NT - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe

O23 - Service: Plug and Play - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Agente de directivas IPSEC - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Almacenamiento protegido - Unknown - C:\WINNT\system32\services.exe

O23 - Service: RapApp - Internet Security Systems, Inc. - C:\Archivos de programa\ISS\BlackICE\rapapp.exe

O23 - Service: Administrador de cuentas de seguridad - Unknown - C:\WINNT\system32\lsass.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Programador de tareas - Unknown - C:\WINNT\system32\MSTask.exe

O23 - Service: Servicio RunAs - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINNT\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINNT\system32\tlntsvr.exe

O23 - Service: Cliente de seguimiento de vinculos distribuidos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: UPSmartDB9 - Unknown - C:\Archivos de programa\UPSmart\UPServ.exe

O23 - Service: Administrador de utilidades - Unknown - C:\WINNT\System32\UtilMan.exe

O23 - Service: Horario de Windows - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Instrumental de administración de Windows - Unknown - C:\WINNT\System32\WBEM\WinMgmt.exe

O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET\WrOS.EXE

O23 - Service: Exten. controlador Instrumental de admon. de Windows - Unknown - C:\WINNT\system32\Services.exe

PD: el Kaspersky lo estoy instalando cuando termine me escaneo y te cuento
 

ticogotenks

Nuevo Miembro
Miembro
#5
No creo que lo archivos que nombras tengan nada a que ver con un gusano de la familia RBOT ya que este estará escrito en Visual C++ y no en Java.
primero los archivos que identifico el AVG dijo que están infectados con ","Virus identified Java/ByteVerify"

yo lei por internet que ese era de la familia de gusano RBOT. por lo que tu me dises esto es falso
eh encontrado esta informacion: en vsantivirus.com

Java/Exploit.Bytverify. Vulnerabilidad en Java

http://www.vsantivirus.com/java-exploit-bytverify.htm

Nombre: Java/Exploit.Bytverify

Nombre Nod32: Java/Exploit.Bytverify

Tipo: Caballo de Troya

Alias: Trojan.ByteVerify, Exploit-ByteVerify, Exploit.Java.Bytverify, JAVA_BYTVERIFY.A

Fecha actualización: 2/set/04

Plataforma: Windows 32-bit

Tamaño: variable

Se trata de un caballo de Troya que explota una vulnerabilidad descripta por Microsoft en el boletín MS03-011 (abril de 2003), y que permite a un sitio malicioso ejecutar código en los equipos vulnerables.

Un fallo en las versiones 3809 y anteriores de la Máquina Virtual de Java de Microsoft, permite, por un error en el componente ByteCode Verifier, que sitios o usuarios maliciosos, lo utilicen para ejecutar código en forma arbitraria en la máquina de la víctima, saltándose las restricciones impuestas a todo código Java.

El código está incluido en un applet de Java, o puede ser descargado por un troyano, de modo que la computadora del usuario es afectada cuando ello ocurre. Esto también puede explotarse a través de la apertura de un correo electrónico con formato HTML.

Cuando un applet malicioso se ejecuta, puede realizar las siguientes acciones:

1. Modificar los permisos de ejecución para su propio código.

2. Abrir determinadas páginas Web para obtener datos de configuración, con los que puede modificar la página de inicio y las opciones de búsqueda del Internet Explorer, además del archivo HOST de Windows, para redireccionar determinados sitios a otros proporcionados por el atacante.

3. Agregar enlaces a la lista de favoritos, generalmente relacionados con sitios pornográficos.

4. Intentar la instalación de dialers (discadores telefónicos a Internet que suelen conectarse a sitios similares a los anteriores).

5. Crear archivos HTML o scripts locales, que permiten ejecutar otras acciones, incluso la descarga de otros códigos malignos.

La notificación de una infección con este troyano, no significa necesariamente que la máquina ya esté infectada, sino que el código capaz de hacer todo lo indicado antes está incluido en algún applet descargado.

Los applets suelen distribuirse en archivos comprimidos, los cuáles son abiertos en tiempo de ejecución. La eliminación del código significa borrar todo el archivo comprimido.

PD: este virus hace que el pc se te quede pegado? o algo que ver con RQL_NOT_LESS_OR_EQUAL o algo asi

chaop y espero que me puedan responder las dudas una por una plis

ademas de ver que tiene de malo el Logfile of HijackThis v1.99.0

chaop y hasta luego
 

alnitak

Ex-Admin
Miembro
#6
Hola,

con el HijackThis revisa estas y dale a fix:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.naupoint.com/toolbar/ie.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

F2 - REG:system.ini: UserInit=

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\ARCHIV~1\FlashFXP\IEFlash.dll (file missing)

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Efectivamente el malware que te ha infectado parece ser un hijacker de algún genero, posiblemente sea el mismo que sale en tu log como redireccion de la busqueda a la pagina maliciosa de naupoint.com, necesitarás actualizar tu sistema operativo si todavia no lo has hecho.

El error: IRQL_NOT_LESS_OR_EQUAL no suele estar relacionado con malwares sino mas bien con problemas de drivers o de hardware. Si recientemente has actualizado algún driver, intenta volver a la versión anterior o busca una nueva, sobre todo si lo has hecho a través del Windows Update que raro es cuando pegan un driver :rolleyes:

El problema también puede ser ocasionado por malwares o por servicios mal instalados en general, pero mas probable entonces es no lo provoque el malware directamente sino el antivirus o el firewall que intenta contrastarlo.
 
R

runlevel0

Guest
#8
Java/Exploit.Bytverify. Vulnerabilidad en Java

http://www.vsantivirus.com/java-exploit-bytverify.htm

Nombre: Java/Exploit.Bytverify

Nombre Nod32: Java/Exploit.Bytverify

Tipo: Caballo de Troya

Alias: Trojan.ByteVerify, Exploit-ByteVerify, Exploit.Java.Bytverify, JAVA_BYTVERIFY.A

Fecha actualización: 2/set/04

Plataforma: Windows 32-bit

Tamaño: variable

Se trata de un caballo de Troya que explota una vulnerabilidad descripta por Microsoft en el boletín MS03-011 (abril de 2003), y que permite a un sitio malicioso ejecutar código en los equipos vulnerables.
Acabo de encontrar un ejemplar de esos y algúnos amiguetes en mi máquina.

Por suerte tengo 3 antivirus corriendo en tándem automáticamente todos los días, pero me preocupa saber de dónde c... vienen.

Os cuento: Esta máquina es una Gentoo Linux y los ficheros troyanos están en mi

directorio personal: /home/runlevel0/.java/deployment/cache/javapi/v1.0/file/BlackBox.class-30317c8a-40e9b834.class y otros dos más que son el mismo troyano, conocido como BlackBox o eITRUDER. Se trata de un keylogger comercial que como decías hace uso de un error en Java.

El caso es que en ese directorio no se guarda nada que haya arrancado usando Wine (Tiene su porpia jerarquía de directorios separada)...

¿Para que se instale tienes que bajarte un applet?

Me estoy bajando ahora mismo el único que tengo en los logs: iTree Mini (un menú desplegable para webs), que no me consta hber descargado, pero tal vez sí lo haya hecho Mozilla por su cuenta (?).

Me gustaría que alguién me dijera si es así o sino dónde puedo encontrar una lista de aplicaciones que lleven ese troyano, creo que había una que especificaba qué programas llevaban qué spyware, pero no recuedo cual era.

De momento no ha conseguido nada, ya que este troyano en particular no afecta a Linux... Pero está en mi sistema y con igual facilidad podría haber sido uno que sí me afectara, y tal como está el patio ahora cuando los gusanos y demás bichos los hacen profesionales por dinero, como para fiarse...

En fin, agradecería cualquier info, me interesa bastante.

Gracias :D
 

alnitak

Ex-Admin
Miembro
#9
Efectivamente el bug es explotado mediante un applet que suele ser descargado de algúna Web o que puede venir como adjunto de un correo pero solo afecta versiones de Java de Microsoft no parcheadas y en el caso se utilice como navegador el IExplorer se pueden explotar otros bugs entre los millones que existen para que el applet se instale solito y haga con el sistema lo que le venga en ganas. La versión de SUN es inmune a este bug.

A pesar de ser inmune la versión de SUN almacena estos applets maliciosos en su cache directory y por lo tanto los antivirus lo detectarán y lo reportarán. La presencia de estos applets en sistemas que corren la versión de SUN de Java no supone algún riesgo real de seguridad.

Sobre el como y el por que un sistema Linux se haya podido ver afectado ya lo dejo a tu criterio, que si manejas Gentoo no necesitas seguramente de mis especulaciones ya que sabrás bastante mas que yo de informática.

Listas de aplicaciones que lleven el troyano no creo que encuentres o al menos no encontrarás actualizadas, andar detrás de estos bichos es siempre muy complicado y los interesados en explotar estos bugs cada día se sacan algo nuevo de la manga ya que es un negocio bastante provechoso.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie