Infección con Troyano BackDoor.Hupigon5.ILN

Hola

AVG Free me informa con Alerta de Protección residente de una infección con el Troyano BackDoor.Hupigon5.ILN

Todos los archivos parecen ser uno mismo, sin embargo, al tratar de eliminarlos con la opción que ofrece el AVG solamente me elimina uno, aunque casi todos tienen exactamente la misma información. También muestra que se trata de un proceso svchost.exe

Pongo el link a la imagen:

http://img269.imageshack.us/img269/5592/dibujomts.jpg

He buscado información acerca de este troyano en AVG, google, altavista, yahoo, infospyware y también aquí, pero no encuentro nada. ¿Alguno lo conoce?, ¿será un falso positivo?

Si es un virus a tomado posecion de la carpeta System Volume Information
Haz lo siguiente

Desactiva restaurar sistema
Mi PC>Propiedades>Restaurar sistema

Haz un analisis de nuevo con AVG.

Inicia modo seguro
Presionando F8 cuando la PC este iniciando.
y pásale SuperAntiSpyware
http://downloads.superantispyware.co...ntiSpyware.exe

Reinicia en Modo Normal y pásale este antivirus online
http://www.eset-la.com/online-scanner/ (Usa Internet Explorer)

Descarga Hijackthis
http://www.trendsecure.com/portal/en...HJTInstall.exe

con la opcion Do a scan and save a log file y pega aqui el contenido para analizarlo.

Recuerda. Sigue los pasos SIN brincartelos

Hola zackrated

Gracias por responder. Seguí tus instrucciones al pie de la letra y estos son los resultados:

- AVG Free no encontró infección.
- SuperAntiSpyware no encontró infección.
- El antivirus on-line ESET Online Scanner encontró lo siguiente:

Posible variante de Win32/TrojanDropper.Agent Troyano
Probablemente desconocido NewHeur_PE Virus
Win32/Adware.Agent.NMA aplicación
Problablemente una variante de Win32/Genetic Troyano

Eliminó 10 de 11, pero no dio informe de lo qué no eliminó.

Se me indica que debo acortar el texto es muy largo, así que el resultado de Hijackthis lo pego en un post a continuación.

- Este es el resultado de Hijackthis:


¿Ya puedo activar Restaurar Sistema?

¿Notas alguna mejoria en el sistema?

El log de hijackthis se muestra limpio, solo hay una entrada vacia
Ejecuta hijacthis con la opcion Do a Scan Only y dale fixcheked a esta entrada

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Para estar 100% seguro. Haz lo siguiente

1.- Pásale este antivirus online http://www.ewido.net/en/onlinescan/
Junto con el Eset http://www.eset-la.com/online-scanner/ (Usa en ambos Internet Explorer)

2- Descarga Malwarebytes cuando termine de analizar (Analisis Completo) elimina todo lo que encuentre y guarda un informe; reinicia si es necesario y pega aqui el informe de Malwarebytes


3- Haz un nuevo log de hijackthis con la opcion de a scan and save a log file
y pega aqui de nuevo el informe.

Recuerda: Sigue el orden de los pasos.

Activa restaurar sistema si estas 100% seguro que la infeccion desaparecio. Ya que fue necesario desactivarla, puesto que el virus se encontraba en los puntos de restauracion y era probable que cada ves que el AVG los borraba, estos se restauraban.

Saludos

De principio no noté cambios, se mantenía bastante lento, ahora que terminé con todos los scaneos y limpiezas está más ligero.

Te muestro los resultados de todo:

- Ya quité la entrada O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)


- Tuve problemas con el ewido, los archivos necesarios no se quisieron bajar para instalar, la página solamente me mostraba este mensaje:

"With the help of our online scanner you can scan and clean your computer from malware without having to install additional software on your computer.

When a dialog box appears asking you if you would like to download and install the ewido anti-spyware online scanner please click "Yes" to allow the download."

Así que nada más pude pasar el Eset. Ese me mostró un archivo infectado, era un programa de audio que tenía descargado, pero no había instalado todavía, así que lo envié a la papelera y la limpié con Ccleaner, por si las dudas. Decía: Win32/Adware.Agent.NMA aplicación


- Resultados del scaneo con Malwarebytes:

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 409420
Tiempo transcurrido: 5 hour(s), 57 minute(s), 42 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 6
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 1
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_CURRENT_USER\SOFTWARE\Sob Software (Trojan.Downloader) -> No action taken.
HKEY_CLASSES_ROOT\FirefoxHTML\shell\HTMLView (Trojan.Downloader) -> No action taken.
HKEY_CLASSES_ROOT\HtmlViewFile (Trojan.Downloader) -> No action taken.
HKEY_CLASSES_ROOT\mhtmlfile\shell\HTMLView (Trojan.Downloader) -> No action taken.
HKEY_CLASSES_ROOT\xmlfile\shell\HTMLView (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Sob Software (Trojan.Downloader) -> No action taken.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
C:\WINDOWS\system32\2052 (Malware.Trace) -> No action taken.

Ficheros Infectados:
(No se han detectado elementos maliciosos)

-------------------------------------------------------------------------------

Luego de quitar los elementos infectados:

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 6
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 1
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_CURRENT_USER\SOFTWARE\Sob Software (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\FirefoxHTML\shell\HTMLView (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\HtmlViewFile (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mhtmlfile\shell\HTMLView (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xmlfile\shell\HTMLView (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Sob Software (Trojan.Downloader) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
C:\WINDOWS\system32\2052 (Malware.Trace) -> Quarantined and deleted successfully.

Ficheros Infectados:
(No se han detectado elementos maliciosos)

Log de Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:58:00, on 10-06-2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\ARCHIV~1\AVG\AVG8\avgrsx.exe
C:\ARCHIV~1\AVG\AVG8\avgnsx.exe
C:\Archivos de programa\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\apps\ABoard\ABoard.exe
C:\apps\ABoard\AOSD.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Archivos de programa\Comodo\Firewall\cfp.exe
C:\ARCHIV~1\AVG\AVG8\avgtray.exe
C:\Archivos de programa\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\taskmgr.exe
c:\archivos de programa\a-squared free\a2service.exe
C:\Documents and Settings\ami\Escritorio\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.latam.msn.com/0SEESXL/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.packardbell.cl/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.latam.msn.com/0SEESXL/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: 4shared.com Toolbar - {09ec805c-cb2e-4d53-b0d3-a75a428b81c7} - C:\Archivos de programa\4shared.com\tb4sha.dll
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: 4shared.com Toolbar - {09ec805c-cb2e-4d53-b0d3-a75a428b81c7} - C:\Archivos de programa\4shared.com\tb4sha.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dl l
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: eSnips - {ED1184DA-E57E-4480-99D0-A16809037F54} - C:\Archivos de programa\eSnips\SnipBar.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: 4shared.com Toolbar - {09ec805c-cb2e-4d53-b0d3-a75a428b81c7} - C:\Archivos de programa\4shared.com\tb4sha.dll
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [Comodo Firewall] "C:\Archivos de programa\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Archivos de programa\Comodo\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Archivos de programa\Comodo\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARCHIV~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Bajar web con LeechGet - file://C:\Archivos de programa\LeechGet 2006\\Parser.html
O8 - Extra context menu item: Descargar usando el Asistente de Descargas - file://C:\Archivos de programa\LeechGet 2006\\Wizard.html
O8 - Extra context menu item: Descargar usando LeechGet - file://C:\Archivos de programa\LeechGet 2006\\AddUrl.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Snip to my eSnips account - C:\Archivos de programa\eSnips\res\SnipIt.htm
O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\archivos de programa\a-squared free\a2service.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Archivos de programa\Comodo\Firewall\cmdagent.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 9537 bytes


Si ves que está todo ok entonces activo restaurar sistema.
Entonces, ¿cada vez que haga escaneo de rutina con los programas de seguridad es importante desactivarlo?, ¿o solo es necesario desactivarlo cuando me dice que encontró algún archivo infectado y debe reparar, borra?

Al parecer esta ya todo limpio amigo.

El log de hijacthis esta limpio.
Malwarebytes borro las infecciones.

Haz un último exemen con Malwarebytes en Analisis rápido y pegas el informe aqui.

Restaurar sistema áctivalo si el Malwarebytes no a detectado nada.
y si es asi crea un punto de restauracion, ya que los demas se borraron cuando desactivaste restaurar sistema.

Respondiendo a tu pregunta si es necesario desactivarlo. pues si es un escaneo de rutina, solo para verificar que no este infectado no es necesario desactivarlo.

En este caso lo desactivamos puesto que infecto los puntos de restauracion y al desactivarlo estos se borran con todo y virus. por eso el AVG ya no detecto nada despues de que desactivaste el restaurar

Saludos. Si ves que queda un poco lento la PC utiliza este tutorial para mejorar el rendimiento.
http://www.mediafire.com/download.php?wkl2mnwh5ym

Una ves que veas que los problemas se resolvieron deja el AVG y el Superantispyware, con estos dos estarás bien protegido. puedes remover el Malwarebytes, Ad-Aware etc.

Aquí está el informe de Malwarebytes:


Ya sale todo limpio así que restauré sistema y creé un punto de restauración.

También bajé el tutorial que me dejaste.

Muchas gracias por tu atención y ayuda

Ok, entonces damos tema por solucionado