VIRUS TRJ/DOWNLOADER.MDW Y POGRAMAS SOSPECHOSOS (SOLVED)

[nothing]

Muestras enviadas!



Por cierto he desactivado la restauracion del sistema, reiniciando a prueba de fallos y finalmente pasar el anti-virus, pero de momento todo sigue igual :cry: . De todas formas gracias lucl por la ayuda :wink:



Además ahora mi pc se ha relantizado de una manera increible :evil: , tanto para navegar por internet como para cerrar o reiniciar mi pc (casi tarda 10 minutos para cerrar el pc..)



Creo que es evidente que el problema reside en estos 2 malditos ficheros cftmon.exe y SPOOLS.exe :evil: :evil: :evil: . Incluso he mirado en "procesos del sistema en "administrador del sistema" y aparecen los 2! No se si le puedo dar a terminar proceso en estos archivos o no :?: Se pueden eliminar desde "ejecutar" :?:



Gracias por la ayuda!

[nothing]

He ejecutado el programa Sprocess, me ha dado la lista de los programas .exe y en ellos he encontrado el maldito CFTMON.EXE, le he dado doble click y a dejado de ejecutarse. Por cierto habia 2 CFTMON.EXE uno asi y el otro con asterisco CFTMON.EXE* . Le he dado doble click a los 2!!!



De momento he solucionado que la respuesta de mi pc es mucho más rápida (como antes) tanto navegando por internet como utilizando el pc. Lo malo ha sido que en la lista también estaba el otro archivo SPOOLS.EXE , pero no me lo deja desactivar!

[nothing]

finalmente también he podido desactivar el proceso del SPOOLS.exe y de esta manera he podido borrar estos 2 ficheros de su ubicacion en windows\sistem32\drivers\ SPOOLS y el CFTMON.EXE que se encontraba en el en documents and settings. En principio mi antivirus no detecta nada de virus ni programas maliciosos. El ordenador ya no va lento. He reiniciado y...

Al abrir por ejemplo agregar programas me dice que no puede encontrar el archivo "rundll32.exe"??? Me parece que no he borrado nada de esos, solamente he eliminado los archivos SPOOLS.EXE Y CFTMON.EXE.

Como puedo recuperar el "rundll32.exe" :?: :?:



Gracias;

[msc hotline sat]

Pues parece que has eliminado la DLL (wrlzma.dll) que lanzaba a traves del RUNDLL32.exe, y al no encontrarlo, da el error.



[b][i]Deciamos que la enviaras, no que la eliminaras...[/i][/b]



Mañana analizaremos la muestra en cuestion y desarrollaremos la siguiente version del ELISTARA para que elimine dicha chave.



Otra manera sería encontrar con el BUSCAREG dicha clave y eliminarla, pero veamos si lo podemos hacer mas facilmente como hemos indicado.



saludos



ms, 4-05-2008

[nothing]

Pues no he borrado este archivo, DLL (wrlzma.dll). He mirado y veo que este archivo esta en su sitio.



solo he borrado los 2 archivos CFTMON.EXE Y SPOOLS.EXE.



Saludos;

[msc hotline sat]

Pues como que supongo que nos los has enviado para analizar, como te pediamos, mañana los analizaremos e implementaremos en la proxima version de nuestras utilidades su control y eliminacion, de ficheros y claves correspondientes, de lo cual informaremos



saludos



ms, 4-05-2008

[msc hotline sat]

Una primer analisis sobre el fichero recibido indica ser un malware identificado como Downloader.Win32.Small.uyl



Entra en cola de monitorizacion y se controlará con el ELISTARA, de lo cual informaremos



saludos



ms, 5-5-2008

[nothing]

Gracias, pero mi problema actualmente es que no puedo abrir ningún programa de mi ordenador (elistara,elistrip,ad-aware...) incluso no me deja abrir "agregar o quitar programas".

Me sale una pantallita con un cruz roja que dice que no encuentra la ruta. Y en otros programas no encuentra en el fichero "rundll32.exe".



Pero, vamos a ver si todo tiene relación y pronto todo vaya a funcionar correctamente.



Saludos





NOTA: Revisando el Tema, veo de donde puede venir el problema: decias "[b][i]solo he borrado los 2 archivos CFTMON.EXE Y SPOOLS.EXE.[/i][/b]" Pues craso error ! no deben eliminarse los ficheros sospechosos sin analizarlos y muchas veces antes deben eliminarse las claves de carga o de proteccion creadas por el CODER, para evitar circunstancias como la que tienes... que te sirva de experiencia :wink: ms.

[msc hotline sat]

Pues dos cosas. Hoy no ha podido monitorizarse dada la aglomeracion de muestras y las tuyas se procesarán mañana, si Dios quiere.



Pero vamos a lo que ahora importa, que es el problema de acceso a estos ficheros.



Dices " [b][i]Me sale una pantallita con un cruz roja que dice que no encuentra la ruta. Y en otros programas no encuentra en el fichero "rundll32.exe".[/i][/b] ", y ello puede ser a que tengas interceptadas estas extensiones a base de exigir cargar el malware en cada ocasion, y si no está, no permitir seguir el proceso.



Trata de arrancar en modo seguro a ver si así persiste el problema, y podremos hacer dos cosas, la una, lanzar el HJT y postearnos el log para analizarlo, y la segunda, tratar de ejeuctar el ELIRESTR, todo ello desde modo seguro.



Para lo primero:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos





Para lo segundo:





PARA PROBAR EL ELIRESTR.VBS



http://www.zonavirus.com/datos/descargas/92/ELIRESTR.asp





y nos comentas el resultado, gracias



saludos



ms, 5-5-2008

[nothing]

[b]resultado del hijackthis (modo seguro)_[/b]Logfile of HijackThis v1.99.1

Scan saved at 20:38:39, on 05/05/2008

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\PANDAS~2\PANDAI~1\PAVSCRIP.EXE

C:\Documents and Settings\Bergada\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Bergada\cftmon.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\Inicio.exe"

O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Bergada\cftmon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/cabs/ascstubie.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{653B63FF-784B-429C-B1D3-2CFA7B774D01}: NameServer = 80.58.61.250,80.58.61.254

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsCtrls.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\pavsrv51.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe

O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\archivos de programa\panda security\panda internet security 2008\firewall\PSHOST.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsImSvc.exe

O23 - Service: Programador de tareas (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe (file missing)

O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\TPSrv.exe



[b]Hijackthis (modo normal):[/b]Logfile of HijackThis v1.99.1

Scan saved at 20:46:01, on 05/05/2008

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\TPSrv.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\brss01a.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsCtrls.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavFnSvr.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\pavsrv51.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AVENGINE.EXE

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe

c:\archivos de programa\panda security\panda internet security 2008\firewall\PSHOST.EXE

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsImSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\SRVLOAD.EXE

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\WebProxy.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavBckPT.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Bergada\CONFIG~1\Temp\Rar$EX00.926\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Bergada\cftmon.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\Inicio.exe"

O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Bergada\cftmon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/cabs/ascstubie.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{653B63FF-784B-429C-B1D3-2CFA7B774D01}: NameServer = 80.58.61.250,80.58.61.254

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsCtrls.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\pavsrv51.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe

O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\archivos de programa\panda security\panda internet security 2008\firewall\PSHOST.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsImSvc.exe

O23 - Service: Programador de tareas (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe (file missing)

O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\TPSrv.exe



con ELIRESTR.VBS en principio se ha restablecido el acceso a todos mis programas!!!, supongo que va a ser difinitivo...Veo que en el hickakthis ahún estan los archivos sospechosos :O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Bergada\cftmon.exe

:?: :?: :?:



Muchas gracias;



PD: al reiniciar en modo normal, se ha abierto un mensaje que decía: "se ha encontrado nuevo hardware" :?: :roll:

[msc hotline sat]

Tal como te he dicho hoy no se ha podido monitorizar todo lo llegado:


[quote]ELISTARA



---v16.21-( 5 de Mayo del 2008) (Muestras de (3)Vundo9, (7)Vundo5, (2)DownLoader.ConHook, (4)PWS-OnLineGames.AMVO, BackDoor.CVT "WIN***32.DLL", JuanSearch, FraudLoad.UY "FAS64.DLL", Malware.SearchSet "SEARCHSETTINGS.DLL", DownLoader.Agent.ARE "IMGTASK.EXE", Uzelok.A "SYSTEM32.EXE" y Netvizor "SERVICES.EXE")[/quote]

Pero lo mas importante es que ya puedes ejecutar los ficheros a pesar de haber eliminado el gusano usado en dicha función, el cual era lanzado en cada ejecucion de los interceptados. Gracias al ELIRESTR se han eliminado dichas restricciones, lo cual utilizan algunos virus para protegerse del borrado de sus ficheros, por ello lo ya dicho de siempre analizar antes de borrar, si no se conoce su funcion.



Y los demas sospechosos, si quieres puedes renombrarlos a .VIR, para que no sean lanzados en proximos reinicios. Y mañana los controlaremos, aunque tengan extension .VIR



saludos



ms, 5-05-2008

[nothing]

He probado de renombrar los 2 ficheros sospechosos (pero no los encuentro)



-C:\Documents and Settings\Bergada\cftmon.exe



-C:\WINDOWS\system32\drivers\spools.exe



Lo raro es que aparezcan en el analisis del hihack, ya que actualmente veo que no estan. (almenos en sus ubicaciones originales)



Por cierto la detección de un nuevo hardware (cuando no he modificado nada), es algo normal :?: . Ahora al reiniciar ya no me sale, pero ayer apareció y después me dijo si queria configurar-lo :?: (sin tener ni p.idea de que era...) pinché cancelar y no ha vuelto a aparecer, pero...



Saludos!

[msc hotline sat]

Recuerda que decias "solo he borrado los 2 archivos CFTMON.EXE Y SPOOLS.EXE."



No los busques si los has borrado ...



Y cuando se hayan monitorizado las muestras recibidas, informaremos



saludos



ms, 6-5-2008

[nothing]

ok!

[msc hotline sat]

Terminado el proceso, se ha detectado e implementado en el ELISTARA 16.22 de hoy el control y eliminacion de un nuevo Trojan DELF, 2 nuevos Trojan Small y un nuevo clicker.



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



Tras probarlo, posteanos el resultado contenido en el c:\infosat.txt, gracias



saludos



ms, 6-5-2008

[nothing]

RESULTADO DE ELISTARA V16.22:



Tue May 06 18:53:32 2008

EliStartPage v16.22 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue May 06 18:56:24 2008

EliStartPage v16.22 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\LocalService\CFTMON.EXE --> Eliminado, DownLoader.Small.UYL

C:\Muestras\SMSS.EXE.MUESTRA ELISTARTPAGE V16.20 --> Eliminado, Trojan.Delf.BEA

C:\WINDOWS\system32\WRLZMA.DLL --> Eliminado, Clicker.Small.TO



Nº Total de Directorios: 3313

Nº Total de Ficheros: 47682

Nº de Ficheros Analizados: 14000

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

[msc hotline sat]

Bien, pues detectados y eliminados.



Tras reiniciar indicanos si persiste alguna anomalía o ya podemos dar por solucionado el Tema



saludos



ms, 6-5-2008

[nothing]

Bueno, en principio parece que mi pc esta limpio del todo! Estos són los informes últimos de elitrip y eslistar:



Wed May 07 09:57:36 2008

EliTriIP v4.67 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Wed May 07 09:57:48 2008

EliTriIP v4.67 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3323

Nº Total de Ficheros: 48394

Nº de Ficheros Analizados: 12774

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed May 07 10:29:09 2008

EliStartPage v16.22 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed May 07 10:35:41 2008

EliStartPage v16.22 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3304

Nº Total de Ficheros: 47640

Nº de Ficheros Analizados: 13985

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed May 07 10:44:34 2008

EliStartPage v16.22 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3304

Nº Total de Ficheros: 47640

Nº de Ficheros Analizados: 13985

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Lo único es que mi anti-virus, me localiza un adware (Adware/Antiviruspro)que no puede eliminar, os envio muestra para que lo analizeis. Aparte internet va un poco lento , no sé si puede ser debido a este adware.



Muchas gracias;

[msc hotline sat]

Posiblemente no haga nada mas que estar residente, pero suficiente para ralentizar.



Cuando recibamos la muestra la analizaremos, y procderemos a implementar su control y eliminacion, si procede, en la siguiente version del ELISTARA



De momento, renombra el fichero en cuestion, a extension .VIR para que en el proximo reinicio no pueda ser lanzado, a ver si asi eliminas la lentitud. Igualmente la extension .VIR tambien la controlamos con nuestras utilidades, asi que luego, cuando la controlemos, la eliminaremos junto con la clave de carga.



saludos



ms, 7-05-2008

[msc hotline sat]

Fichero para analizar recibido corrupto.



Mira si es operativo, y en tal caso nos lo envias de nuevo, sino eliminalo.



Y en cualquier caso nos informas al respecto, gracias



saludos



ms, 8-05-2008

[nothing]

He vuelto a enviar el archivo renombrado a .VIR.



También corrupto?





Saludos!

[msc hotline sat]

SATINFO cierra a las 18:30..., lo veremos mañana



saludos



ms, 8-05-2008

[nothing]

No sé si habeis recibido bién mi archivo :?:

[msc hotline sat]

El viernes se implementaron estos en el ELISTARA 16.25:



ELISTARA



---v16.25-( 9 de Mayo del 2008) (Muestras de Vundo9, (3)Puper-Sb, NaviPromo, DownLoader.Small.VAA "WINNT32.DLL", Cutwail.C(RootKit) "TCPSR.SYS", P2P-Worm.Agent.BM(dropper) "SETUP+PATCH.EXE", Rootkit.Agent.AJG "DAT*.TMP" y WinHound "X8E91E2450.TMP")





Recuerdanos el nombre el fichero que enviastes, a ver si es uno de ellos, o prueba la nueva version 16.25 del ELISTARA a ver si lo controla, y nos posteas el resultado.



Hoy es fiesta en Barcelona (2ª Pascua o Pascua Granada) y no se trabaja, igual que en muchas ciudades de Catalunya, como desde donde escribo, a 40 km de Barna, pero no sé si fuera de nuestra region es fiesta en mas sitios ??? y en Tremp ??? Al menos en Esterri d'Àneu si, pues son sus fiestas... http://www.elportaldelspallars.com/esterri1.htm claro que ellos están en el Pallars Sobirà y Tremp está en el Pallars Jussà... ???



Pero probablemente sí que estais de fiesta. o fué ayer, 2º domingo de Mayo ??? :wink: ... [img]http://www.lleidatur.com/imatges//festes/festaprimavera.jpg[/img]



Quereis que os diga la verdad, estas fiestas que cada sitio escoge las suyas es un follón, pues no sabes si trabajan o no, aunque al lado lo hagan, por ejemplo cerda de donde estoy, en Granollers, trabajan, y aqui no y Barcelona tampoco, asi que "kilos a" :mrgreen:



saludos



ms, 12-05-2008

[nothing]

la verdad es que de fiesta aqui nada de nada, ayer domingo sí :D .



Por cierto el famoso archivo, finalmente lo he podido borrar, osea que no hace falta analisis creo.



SALUDOS!

[msc hotline sat]

Pues mejor, porque recuerdo que varias veces que lo probamos indicaba faltar algun componente para ser ejecutado o estar corrupto, si bien no sé si ya se implementó solo por cadenas, en cualquier caso, damos por solucionado el Tema y procedemos a cerrarlo



Y no trabajes mucho por aquí... nosotros sí que hacemos fiesta, ya lo ves



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 12-05-2008