Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Saludos a todos:
Un escaneo con Kaspersky Online detectó el Backdoor.Win32.Hupigon.aqaf en un archivo del disco D. Le he pasado Panda Activescan y NOD32, pero ninguno lo detecta. Aquí va el reporte de Kaspersky:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Wednesday, March 12, 2008 1:00:50 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 12/03/2008
Kaspersky Anti-Virus database records: 625624
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - Folders:
D:\

Scan Statistics:
Total number of scanned objects: 20499
Number of viruses found: 2
Number of infected objects: 7
Number of suspicious objects: 0
Duration of the scan process: 01:32:47

Infected Object Name / Virus Name / Last Action
D:\autorun.inf\lpt3.This folder was created by Flash_Disinfector Object is locked skipped
D:\Miguel\Respaldo\SuricataOS\SOS_RM.iso/SmartBoost/Vista Transformation Pack 6.0.exe/WISE0030.BIN Infected: not-a-virus:RiskTool.Win32.CloseApp.a skipped
D:\Miguel\Respaldo\SuricataOS\SOS_RM.iso/SmartBoost/Vista Transformation Pack 6.0.exe/WISE0053.BIN/WISE0005.BIN Infected: not-a-virus:RiskTool.Win32.CloseApp.a skipped
D:\Miguel\Respaldo\SuricataOS\SOS_RM.iso/SmartBoost/Vista Transformation Pack 6.0.exe/WISE0053.BIN Infected: not-a-virus:RiskTool.Win32.CloseApp.a skipped
D:\Miguel\Respaldo\SuricataOS\SOS_RM.iso/SmartBoost/Vista Transformation Pack 6.0.exe Infected: not-a-virus:RiskTool.Win32.CloseApp.a skipped
D:\Miguel\Respaldo\SuricataOS\SOS_RM.iso ISOimage: infected - 4 skipped
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
D:\System Volume Information\_restore{8FBBF168-8DB6-4012-9D74-1D0DAC166FF6}\RP2\A0000166.exe/file01 Infected: Backdoor.Win32.Hupigon.aqaf skipped
D:\System Volume Information\_restore{8FBBF168-8DB6-4012-9D74-1D0DAC166FF6}\RP2\A0000166.exe Inno: infected - 1 skipped

Scan process completed.

¿Qué problemas puede originar los dichosos Backdoor y Risktool? ¿Con que antivirus los elimino si me fallaron dos mencionados antes? Puesto que ninguno puedo subirlo a Virustotal para que lo analicen; con los archivos de Suricata OS (una versión de Windows desatendida) era esperable que estuvieran infectados, no así los otros archivos.

Otra consulta, como siempre el fiel Ewido Online detectó cantidad de malwares después de un escaneo, los cuales eliminó sin problemas; pero tengo una duda en dos archivos que, de eliminarlos pudiera ocasionar problemas al sistema operativo:

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Trojan.Hack.Vg
Path: C:\Archivos de programa\Eset\nod32fix.reg
Risk: High

Name: Downloader.Delf.ain
Path: C:\WINDOWS\system32\cmdow.exe
Risk: High

¿Habrá algún problema para el sistema operativo si elimino el fix de NOD32 y el archivo cmdow.exe alojado en system32? He leído en este foro que la eliminación del segundo no daría problemas, pero aun así esperaré a su consejo.

De antemano, gracias por sus respuestas y felicitaciones a la comunidad de Forospyware.

hola enrico_pallazzo

I]Descarga lo siguiente:[/I]

• SUPERAntiSpyware Free
• malwarebytes
• CCleaner

Reinicia a Modo Prueba de Fallos (Modo Seguro)

Ejecuta el SuperAntispyware y Luego el malwarebytes

Ejecuta El Ccleaner para limpiar Cookies y Temporales, Luego el Limpia el Registro.

Incia en Modo Normal.


Haz un escaneo online con:
* Ewido (lee el Manual) [Luego del Escaneo le das a Remove Infections]
* Karpersky (lee el Manual) Y nos Pegas ese nuevo Reporte de Karpersky Aqui


Salu2

Ejecuté Superantispyware el que eliminó algunas cookies. Luego MalwareBytes, que no pilló nada; pasé CCleaner para limpiar el registro y arreglar algunos problemas de registro. Por último, escaneé con Kaspersky Online, he aquí el reporte:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Wednesday, March 12, 2008 11:33:03 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 12/03/2008
Kaspersky Anti-Virus database records: 626581
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - Folders:
D:\

Scan Statistics:
Total number of scanned objects: 20500
Number of viruses found: 3
Number of infected objects: 10
Number of suspicious objects: 0
Duration of the scan process: 01:23:32

Infected Object Name / Virus Name / Last Action
D:\autorun.inf\lpt3.This folder was created by Flash_Disinfector Object is locked skipped
D:\Escritorio PC\escritorio\Memorial_v1.zip/Memorial_v1.exe/data0008 Infected: Trojan-Dropper.Win32.Agent.fvr skipped
D:\Escritorio PC\escritorio\Memorial_v1.zip/Memorial_v1.exe Infected: Trojan-Dropper.Win32.Agent.fvr skipped
D:\Escritorio PC\escritorio\Memorial_v1.zip ZIP: infected - 2 skipped
D:\Miguel\Respaldo\SuricataOS\SOS_RM.iso/SmartBoost/Vista Transformation Pack 6.0.exe/WISE0030.BIN Infected: not-a-virus:RiskTool.Win32.CloseApp.a skipped
D:\Miguel\Respaldo\SuricataOS\SOS_RM.iso/SmartBoost/Vista Transformation Pack 6.0.exe/WISE0053.BIN/WISE0005.BIN Infected: not-a-virus:RiskTool.Win32.CloseApp.a skipped
D:\Miguel\Respaldo\SuricataOS\SOS_RM.iso/SmartBoost/Vista Transformation Pack 6.0.exe/WISE0053.BIN Infected: not-a-virus:RiskTool.Win32.CloseApp.a skipped
D:\Miguel\Respaldo\SuricataOS\SOS_RM.iso/SmartBoost/Vista Transformation Pack 6.0.exe Infected: not-a-virus:RiskTool.Win32.CloseApp.a skipped
D:\Miguel\Respaldo\SuricataOS\SOS_RM.iso ISOimage: infected - 4 skipped
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
D:\System Volume Information\_restore{8FBBF168-8DB6-4012-9D74-1D0DAC166FF6}\RP2\A0000166.exe/file01 Infected: Backdoor.Win32.Hupigon.aqaf skipped
D:\System Volume Information\_restore{8FBBF168-8DB6-4012-9D74-1D0DAC166FF6}\RP2\A0000166.exe Inno: infected - 1 skipped

Scan process completed.

Esto por un lado.

Sobre los archivos que encontró Ewido, mi consulta pasa por saber si la eliminación del fix de NOD32 creará algún problema al antivirus. Lo mismo, si elimino el archivo cmdow.exe de system32 ¿creará problemas para el sistema operativo?

De antemano, gracias al equipo de Forospyware.

hola enrico_pallazzo

busa y elimina los siguientes archivos:

• D:\Escritorio PC\escritorio\Memorial_v1.zip
• D:\Miguel\Respaldo\SuricataOS\SOS_RM.iso/SmartBoost/Vista Transformation Pack 6.0.exe

descarga:

• RogueRemover manual
• SDFix manual

luego activas ver archivos ocultos y reinicia en modo seguro

ejecuta:
RogueRemover como indica el manual.
SDFix

Entra en la carpeta C:\SDFix ubicada en el escritorio y haz doble clic sobre el archivo "Runthis.bat" luego, presiona la tecla "Y" para que comience el chequeo, al terminar, se creará un archivo dentro de la carpeta C:\SDFix llamado Report.txt, copia y pega lo que indique ese reporte acá.
ccleaner en sus opciones de limpiador y registro

realizas un nuevo scan online con el karpersky y nos pegas sus reportes aqui.

deshace ver archivos ocultos y pegas los reportes.

saludos

Saludos Francisco:

Eliminados los archivos que me indicaste.

Al ejecutar RogueRemover sólo me apareció el mensaje: "Congratulations, RogueRemover did not detect any items".

En cuanto a SDFix, aquí va el reporte:

SDFix: Version 1.158

Run by Administrador on 16/03/2008 at 21:10

Microsoft Windows XP [Versi¢n 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:



Could Not Remove C:\autorun.inf



Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-16 21:14:27
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s ptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Archivos de programa\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:f1,02,ca,06,37,fd,a8,9f,ca,1b,5e,ad,78 ,95,df,34,f9,a6,11,74,99,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Archivos de programa\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:e6,ab,ec,94,2d,9d,6f,80,ca,59,7e,55,d7 ,d0,bb,67,74,63,7d,78,5b,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s ptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Archivos de programa\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:e6,ab,ec,94,2d,9d,6f,80,ca,59,7e,55,d7 ,d0,bb,67,74,63,7d,78,5b,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"="C:\\Archivos de programa\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Archivos de programa\\uTorrent\\uTorrent.exe"="C:\\Archivos de programa\\uTorrent\\uTorrent.exe:*:Enabled:æTorren t"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\domainpr ofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"="C:\\Archivos de programa\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files :

C:\autorun.inf Found

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sat 8 Dec 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Wed 23 Jan 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f7db876e 78b88fd8276fd7d29cb7e4eb\BIT15.tmp"

Finished!


Por último, aquí va el reporte de Kaspersky:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Sunday, March 16, 2008 8:58:49 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 16/03/2008
Kaspersky Anti-Virus database records: 634388
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - Folders:
D:\autorun.inf\
D:\System Volume Information\

Scan Statistics:
Total number of scanned objects: 105
Number of viruses found: 1
Number of infected objects: 2
Number of suspicious objects: 0
Duration of the scan process: 00:21:37

Infected Object Name / Virus Name / Last Action
D:\autorun.inf\lpt3.This folder was created by Flash_Disinfector Object is locked skipped
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
D:\System Volume Information\_restore{8FBBF168-8DB6-4012-9D74-1D0DAC166FF6}\RP2\A0000166.exe/file01 Infected: Backdoor.Win32.Hupigon.aqaf skipped
D:\System Volume Information\_restore{8FBBF168-8DB6-4012-9D74-1D0DAC166FF6}\RP2\A0000166.exe Inno: infected - 1 skipped

Scan process completed.


Saludos a la comunidad de Forospyware y disculpen las molestias.

hola enrico_pallazzo

Para eliminar las infecciones en system volume information, debes apagar restaurar sistema, reiniciar, y vuelve a activarla.

pasa el ccleaner y Realiza un escaneo online con "Panda ActiveScan Online" y nos dejas sus reportes en este mismo mensaje.

saludos

Saludos,

Aquí va el reporte de Kaspersky:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Monday, March 17, 2008 9:14:48 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 17/03/2008
Kaspersky Anti-Virus database records: 636268
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - Folders:
D:\autorun.inf\
D:\System Volume Information\

Scan Statistics:
Total number of scanned objects: 105
Number of viruses found: 1
Number of infected objects: 2
Number of suspicious objects: 0
Duration of the scan process: 00:18:58

Infected Object Name / Virus Name / Last Action
D:\autorun.inf\lpt3.This folder was created by Flash_Disinfector Object is locked skipped
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
D:\System Volume Information\_restore{8FBBF168-8DB6-4012-9D74-1D0DAC166FF6}\RP2\A0000166.exe/file01 Infected: Backdoor.Win32.Hupigon.aqaf skipped
D:\System Volume Information\_restore{8FBBF168-8DB6-4012-9D74-1D0DAC166FF6}\RP2\A0000166.exe Inno: infected - 1 skipped

Scan process completed.

------

Panda ActiveScan no encontró nada.

¿Es posible que el backdoor desaparezca si formateo el disco D?

Por cierto, cuando intento pasar Ewido Onlinescan, éste se cierra al llegar al disco D.

De antemano gracias y saludos a la comunidad de Forospyware.

hola, te comparto mi experiecia fijate q hace unos dias, tambien detecte el trojan backdoor, y junto este 2 + "download".

Recuerdo que los elimine con el ashampoo y con el nod32(1 de esos 2). intentalo.

suerte.

Se agradece la sugerencia, darkzu, pero NOD32 me arroja el siguiente mensaje: "La ruta a la carpeta D:\System Volume Information\ no es válida."

Una pregunta, ¿esa carpeta System Volume Information puedo borrarla manualmente (eliminar>papelera reciclaje)? Está ubicada en el disco D, y no en el disco C, a lo mejor por ello es que no se eliminó cuando desactivé Restaurar Sistema y luego reinicié.

Respecto a Ashampoo, ¿no es el quemador de CD/DVD?

Y esto, lo has hecho?

Saludos