rrrar.exe zzzip.exe update.exe

Estado
Cerrado para nuevas respuestas

elranix

Super Moderador
Super Moderador
#1
La cosa es que este ordenador lo cojen mis primos y hace como un dia que se me ralentiza todo, creo haber observado que comienza cuando habro Emule o ares.

La cuestion es que se cargan varios procesos repetidos de los anteriormente nombrados "rrrar.exe zzzip.exe update.exe" el kaspersky 7 no encuentra nada

y también me crea crea unos archivos en el escritorio



pa mi que los llama ctccw32.dll el cual se añadido al inicio tambien.

e subido los archivos a virus total.

<span style='font-size:8pt;line-height:100%'>Este es el resultado completo de analizar el archivo "zzzip.exe" que VirusTotal ha recibido el día 16.06.2007 a las 21:07:59 (CET).

Antivirus Version Actualización Resultado

Ikarus T3.1.1.8 16.06.2007 Backdoor.Win32.SubSeven.C

Webwasher-Gateway 6.0.1 16.06.2007 Virus.Win32.FileInfector.gen!86 (suspicious)

Este es el resultado completo de analizar el archivo "rrrar.exe" que VirusTotal ha recibido el día 16.06.2007 a las 21:18:51 (CET).

Antivirus Version Actualización Resultado

CAT-QuickHeal 9.00 16.06.2007 (Suspicious) - DNAScan

eSafe 7.0.15.0 14.06.2007 suspicious Trojan/Worm

Sophos 4.18.0 12.06.2007 Mal/Packer

Sunbelt 2.2.907.0 16.06.2007 VIPRE.Suspicious

Webwasher-Gateway 6.0.1 16.06.2007 Win32.Malware.gen#FSG (suspicious)

Este es el resultado completo de analizar el archivo "update.exe" que VirusTotal ha recibido el día 16.06.2007 a las 21:33:27 (CET).

Antivirus Version Actualización Resultado

AntiVir 7.4.0.32 16.06.2007 HEUR/Crypted

Fortinet 2.85.0.0 16.06.2007 suspicious

Ikarus T3.1.1.8 16.06.2007 Backdoor.Win32.SdBot.xd

Panda 9.0.0.4 16.06.2007 Suspicious file

Sunbelt 2.2.907.0 09.06.2007 VIPRE.Suspicious

Webwasher-Gateway 6.0.1 16.06.2007 Heuristic.Crypted

Este es el resultado completo de analizar el archivo "ctccw32.dll" que VirusTotal ha recibido el día 16.06.2007 a las 21:20:05 (CET).

Antivirus Version Actualización Resultado

AntiVir 7.4.0.32 16.06.2007 TR/Drop.Agen.ru.2.A

DrWeb 4.33 16.06.2007 BackDoor.IRC.Mishko

Fortinet 2.85.0.0 16.06.2007 W32/Malicious.C5C4!tr

Panda 9.0.0.4 16.06.2007 Trj/Downloader.OMF

VBA32 3.12.0.2 15.06.2007 BackDoor.IRC.Mishko

Webwasher-Gateway 6.0.1 16.06.2007 Trojan.Drop.Agen.ru.2.A
</span>

Mi Log de HijackThis:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 21:12:59, on 16/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Adobe\Adobe Photoshop CS2\Photoshop.exe

C:\HiJackThis_v2\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.trucoswindows.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [PasaKche] D:\Programas\Internet\pasakche.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"

O4 - HKLM\..\Run: [gfxtray] rundll32 ctccw32.dll,findwnd

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll

O9 - Extra button: Barra de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Archivos de programa\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Process Monitor (LVPrcSrv) - Unknown owner - c:\archivos de programa\archivos comunes\logitech\lvmvfm\LVPrcSrv.exe (file missing)

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe

--

End of file - 6685 bytes

mas o menos esta claro, pero en todo caso queria que le echarais un vistazo

Un saludo, ElRanix
 

elranix

Super Moderador
Super Moderador
#2
bueno, así deje el hijack

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 22:13:23, on 16/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\eMule\emule.exe

C:\HiJackThis_v2\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.trucoswindows.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O4 - HKLM\..\Run: [PasaKche] D:\Programas\Internet\pasakche.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Process Monitor (LVPrcSrv) - Unknown owner - c:\archivos de programa\archivos comunes\logitech\lvmvfm\LVPrcSrv.exe (file missing)

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe

--

End of file - 6299 bytes

Parece que es inofensivo,

Saludos.
 

elranix

Super Moderador
Super Moderador
#4
EL Scan del F-Secure no encontro nada aparte de cookies.

Scanning Report

Sunday, June 17, 2007 01:31:36 - 01:46:17

Computer name: RANIXPC

Scanning type: Scan system for viruses, rootkits, spyware

Target: C:\ D:\ E:\ F:\ G:\ H:\ K:\ Z:\

Result: 11 malware found

Tracking Cookie (spyware)

    * System (Disinfected)

    * System

    * System

    * System

    * System

    * System

    * System

    * System

    * System

    * System

    * System

Statistics

Scanned:

    * Files: 0

    * System: 4677

    * Not scanned: 0

Actions:

    * Disinfected: 1

    * Renamed: 0

    * Deleted: 0

    * None: 10

    * Submitted: 0

Files not scanned:

Options

Scanning engines:

    * F-Secure Libra: 2.4.2, 2007-06-15

    * F-Secure AVP: 7.0.171, 2007-06-16

    * F-Secure Orion: 1.2.37, 2007-06-15

    * F-Secure Blacklight: 1.0.64

    * F-Secure Draco: 1.0.35, 2007-06-04

    * F-Secure Pegasus: 1.19.0, 2007-05-15
Hize también un Scan con el AVG Antispyware (Actualizado a fecha de hoy) y lo mismo mas cookies y el famoso "KewlButtonz.ocx" (Backdoor.IRCBot) que eliminado a mano, no se ahora con que programa se instalo

---------------------------------------------------------

AVG Anti-Spyware - Informe del análisis

---------------------------------------------------------

+ Creado en: 1:23:08 17/06/2007

+ Resultado del análisis:

C:\WINDOWS\system32\KewlButtonz.ocx -> Backdoor.IRCBot : Omitidos.

:mozilla.283:C:\Documents and Settings\Ranix\Datos de programa\Mozilla\Firefox\Profiles\cfkaqy7h.default\cookies.txt -> TrackingCookie.2o7 : Limpios.

:mozilla.284:C:\Documents and Settings\Ranix\Datos de programa\Mozilla\Firefox\Profiles\cfkaqy7h.default\cookies.txt -> TrackingCookie.2o7 : Limpios.

:mozilla.286:C:\Documents and Settings\Ranix\Datos de programa\Mozilla\Firefox\Profiles\cfkaqy7h.default\cookies.txt -> TrackingCookie.2o7 : Limpios.

:mozilla.289:C:\Documents and Settings\Ranix\Datos de programa\Mozilla\Firefox\Profiles\cfkaqy7h.default\cookies.txt -> TrackingCookie.2o7 : Limpios.

:mozilla.290:C:\Documents and Settings\Ranix\Datos de programa\Mozilla\Firefox\Profiles\cfkaqy7h.default\cookies.txt -> TrackingCookie.2o7 : Limpios.

(Corto aquí que se hace muy largo, así como 157  )

::Fin del informe
</span>

Tambien le pase el Spy.Sweeper y EliStrat con resultado 0

Gracias Caito, yo creo que ya esta sentenciado el tema.

PD: Es de suponer que ya elimine los archivos "rrrar.exe, zzzip.exe, update.exe y ctccw32.dll"
 
Estado
Cerrado para nuevas respuestas
Arriba Pie