rrrar.exe zzzip.exe update.exe

Estado
Cerrado para nuevas respuestas

elranix

Super Moderador
Super Moderador
La cosa es que este ordenador lo cojen mis primos y hace como un dia que se me ralentiza todo, creo haber observado que comienza cuando habro Emule o ares.

La cuestion es que se cargan varios procesos repetidos de los anteriormente nombrados "rrrar.exe zzzip.exe update.exe" el kaspersky 7 no encuentra nada

y también me crea crea unos archivos en el escritorio



pa mi que los llama ctccw32.dll el cual se añadido al inicio tambien.

e subido los archivos a virus total.

<span style='font-size:8pt;line-height:100%'>Este es el resultado completo de analizar el archivo "zzzip.exe" que VirusTotal ha recibido el día 16.06.2007 a las 21:07:59 (CET).

Antivirus Version Actualización Resultado

Ikarus T3.1.1.8 16.06.2007 Backdoor.Win32.SubSeven.C

Webwasher-Gateway 6.0.1 16.06.2007 Virus.Win32.FileInfector.gen!86 (suspicious)

Este es el resultado completo de analizar el archivo "rrrar.exe" que VirusTotal ha recibido el día 16.06.2007 a las 21:18:51 (CET).

Antivirus Version Actualización Resultado

CAT-QuickHeal 9.00 16.06.2007 (Suspicious) - DNAScan

eSafe 7.0.15.0 14.06.2007 suspicious Trojan/Worm

Sophos 4.18.0 12.06.2007 Mal/Packer

Sunbelt 2.2.907.0 16.06.2007 VIPRE.Suspicious

Webwasher-Gateway 6.0.1 16.06.2007 Win32.Malware.gen#FSG (suspicious)

Este es el resultado completo de analizar el archivo "update.exe" que VirusTotal ha recibido el día 16.06.2007 a las 21:33:27 (CET).

Antivirus Version Actualización Resultado

AntiVir 7.4.0.32 16.06.2007 HEUR/Crypted

Fortinet 2.85.0.0 16.06.2007 suspicious

Ikarus T3.1.1.8 16.06.2007 Backdoor.Win32.SdBot.xd

Panda 9.0.0.4 16.06.2007 Suspicious file

Sunbelt 2.2.907.0 09.06.2007 VIPRE.Suspicious

Webwasher-Gateway 6.0.1 16.06.2007 Heuristic.Crypted

Este es el resultado completo de analizar el archivo "ctccw32.dll" que VirusTotal ha recibido el día 16.06.2007 a las 21:20:05 (CET).

Antivirus Version Actualización Resultado

AntiVir 7.4.0.32 16.06.2007 TR/Drop.Agen.ru.2.A

DrWeb 4.33 16.06.2007 BackDoor.IRC.Mishko

Fortinet 2.85.0.0 16.06.2007 W32/Malicious.C5C4!tr

Panda 9.0.0.4 16.06.2007 Trj/Downloader.OMF

VBA32 3.12.0.2 15.06.2007 BackDoor.IRC.Mishko

Webwasher-Gateway 6.0.1 16.06.2007 Trojan.Drop.Agen.ru.2.A
</span>

Mi Log de HijackThis:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 21:12:59, on 16/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Adobe\Adobe Photoshop CS2\Photoshop.exe

C:\HiJackThis_v2\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.trucoswindows.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [PasaKche] D:\Programas\Internet\pasakche.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"

O4 - HKLM\..\Run: [gfxtray] rundll32 ctccw32.dll,findwnd

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll

O9 - Extra button: Barra de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Archivos de programa\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Process Monitor (LVPrcSrv) - Unknown owner - c:\archivos de programa\archivos comunes\logitech\lvmvfm\LVPrcSrv.exe (file missing)

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe

--

End of file - 6685 bytes

mas o menos esta claro, pero en todo caso queria que le echarais un vistazo

Un saludo, ElRanix
 

elranix

Super Moderador
Super Moderador
bueno, así deje el hijack

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 22:13:23, on 16/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\eMule\emule.exe

C:\HiJackThis_v2\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.trucoswindows.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O4 - HKLM\..\Run: [PasaKche] D:\Programas\Internet\pasakche.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Process Monitor (LVPrcSrv) - Unknown owner - c:\archivos de programa\archivos comunes\logitech\lvmvfm\LVPrcSrv.exe (file missing)

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe

--

End of file - 6299 bytes

Parece que es inofensivo,

Saludos.
 

elranix

Super Moderador
Super Moderador
EL Scan del F-Secure no encontro nada aparte de cookies.

Scanning Report

Sunday, June 17, 2007 01:31:36 - 01:46:17

Computer name: RANIXPC

Scanning type: Scan system for viruses, rootkits, spyware

Target: C:\ D:\ E:\ F:\ G:\ H:\ K:\ Z:\

Result: 11 malware found

Tracking Cookie (spyware)

    * System (Disinfected)

    * System

    * System

    * System

    * System

    * System

    * System

    * System

    * System

    * System

    * System

Statistics

Scanned:

    * Files: 0

    * System: 4677

    * Not scanned: 0

Actions:

    * Disinfected: 1

    * Renamed: 0

    * Deleted: 0

    * None: 10

    * Submitted: 0

Files not scanned:

Options

Scanning engines:

    * F-Secure Libra: 2.4.2, 2007-06-15

    * F-Secure AVP: 7.0.171, 2007-06-16

    * F-Secure Orion: 1.2.37, 2007-06-15

    * F-Secure Blacklight: 1.0.64

    * F-Secure Draco: 1.0.35, 2007-06-04

    * F-Secure Pegasus: 1.19.0, 2007-05-15
Hize también un Scan con el AVG Antispyware (Actualizado a fecha de hoy) y lo mismo mas cookies y el famoso "KewlButtonz.ocx" (Backdoor.IRCBot) que eliminado a mano, no se ahora con que programa se instalo

---------------------------------------------------------

AVG Anti-Spyware - Informe del análisis

---------------------------------------------------------

+ Creado en: 1:23:08 17/06/2007

+ Resultado del análisis:

C:\WINDOWS\system32\KewlButtonz.ocx -> Backdoor.IRCBot : Omitidos.

:mozilla.283:C:\Documents and Settings\Ranix\Datos de programa\Mozilla\Firefox\Profiles\cfkaqy7h.default\cookies.txt -> TrackingCookie.2o7 : Limpios.

:mozilla.284:C:\Documents and Settings\Ranix\Datos de programa\Mozilla\Firefox\Profiles\cfkaqy7h.default\cookies.txt -> TrackingCookie.2o7 : Limpios.

:mozilla.286:C:\Documents and Settings\Ranix\Datos de programa\Mozilla\Firefox\Profiles\cfkaqy7h.default\cookies.txt -> TrackingCookie.2o7 : Limpios.

:mozilla.289:C:\Documents and Settings\Ranix\Datos de programa\Mozilla\Firefox\Profiles\cfkaqy7h.default\cookies.txt -> TrackingCookie.2o7 : Limpios.

:mozilla.290:C:\Documents and Settings\Ranix\Datos de programa\Mozilla\Firefox\Profiles\cfkaqy7h.default\cookies.txt -> TrackingCookie.2o7 : Limpios.

(Corto aquí que se hace muy largo, así como 157  )

::Fin del informe
</span>

Tambien le pase el Spy.Sweeper y EliStrat con resultado 0

Gracias Caito, yo creo que ya esta sentenciado el tema.

PD: Es de suponer que ya elimine los archivos "rrrar.exe, zzzip.exe, update.exe y ctccw32.dll"
 
Estado
Cerrado para nuevas respuestas
Arriba Pie