W32/Gaobot.FD

Cerrado
avbermudez
Mensajes: 3
Registrado: 24 Feb 2010, 00:20

W32/Gaobot.FD

Mensaje por avbermudez » 24 Feb 2010, 00:29

En mi maquina fue detectado este virus, he leido que tiene muchas variantes como puedo limpiar esta en especifico.

No me permite reiniciar en modo a prueba de fallo, para una limpieza mas segura.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: W32/Gaobot.FD

Mensaje por msc hotline sat » 24 Feb 2010, 04:53

Normalmente los Gaobot los eliminamos con el ELITRIIP, pero no recuerdo que ninguno impidiera arrancar en modo seguro, por lo que si hubiera algo mas, prueba ademas el ELISTARA:



[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



y de paso, por si se tratara de virus que se propagara por pendrive, (Y SINO LE SERVIRÁ PARA EL FUTURO), vacune ordenador y pendrives con el ELIPEN:



[b] ELIPEN.EXE: [/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 24-2-2010

RCRSJ

avbermudez
Mensajes: 3
Registrado: 24 Feb 2010, 00:20

Re: W32/Gaobot.FD

Mensaje por avbermudez » 05 Mar 2010, 16:19

Luego de recuperar el equipo, despues de que "expertos" en antivirus la revisaran y recomendaran el formateo. Procedi a ejecutar los programas ELITRIIP y ELISTARA, teniendo como resultado que los 3 virus fueron eliminados, con lo cual ya pude reiniciar a modo prueba de fallo para realizar limpiezas mas seguras.



Dado los resultados satisfactorios obtenidos con estas herramientas. Mi consulta es ¿Porque el antivirus McAfee instalado en la empresa no dectecto ni limpio estos virus?



A continuación detalle del log generado luego de la ejecución.





(30-10-2005 3:53:10 (GMT))

EliStartPage v20.39 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\UNINSTALL.EXE.Muestra EliStartPage v20.39

a "virus@satinfo.es". Gracias.

C:\WINDOWS\UNINSTALL.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "smss32.exe"="C:\WINDOWS\system32\smss32.exe"

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(30-10-2005 3:55:19 (GMT))

EliStartPage v20.39 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\anayancy-vb\Local Settings\Temp\GLF14A.TMP.TBSAP_.DLL --> Eliminado, TBConduit(tb)

C:\Program Files\SAP_SDN\TBSAP_.DLL --> Eliminado, TBConduit(tb)



Nº Total de Directorios: 23400

Nº Total de Ficheros: 271841

Nº de Ficheros Analizados: 59204

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(30-10-2005 4:20:56) (GMT)

EliTriIP v6.52 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Acción Directa):



(30-10-2005 4:20:59) (GMT)

EliTriIP v6.52 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 23400

Nº Total de Ficheros: 271838

Nº de Ficheros Analizados: 50621

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(30-10-2005 4:37:43 (GMT))

EliStartPage v20.39 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(30-10-2005 4:37:55 (GMT))

EliStartPage v20.39 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 22729

Nº Total de Ficheros: 260637

Nº de Ficheros Analizados: 53956

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(30-10-2005 4:40:13) (GMT)

EliTriIP v6.52 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Acción Directa):



(30-10-2005 4:40:26) (GMT)

EliTriIP v6.52 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 22729

Nº Total de Ficheros: 260643

Nº de Ficheros Analizados: 45452

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0
Adjuntos
InfoSat.txt
Log de ejecución
(3.96 KiB) Descargado 309 veces

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: W32/Gaobot.FD

Mensaje por msc hotline sat » 05 Mar 2010, 17:41

Pues antes que nada debo avisarte de que tiene mal la fecha de tu ordenador:



(30-10-2005 4:37:55 (GMT))

EliStartPage v20.39 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2010)



no estamos en 30-10-2005 ... y en tal fecha no se pudo hacer un analisis con una utilidad del 23 de Febrero de 2010 !



AParte de ello, no estas probando las versiones actuales como se debe hacer. El ELISTARA y el ELITRIIP actuales son :



05/03/2010 EliTriip 6.57

05/03/2010 ElistarA 20.47



Ya que cada día desarrollamos nuevas utilidades para controlar las muestras que recibimos a diario. Usar unas antiguas puede no servir para nada ...





Y sobre lo que indicas de McAfee, como cualquier otro antivirus, van controlando los virus y troyanos que van recibiendo, y controlan mucho mas que nuestras utilidades, que solo son un complemento de los antivirus, que son la base, quedan residentes y controlan la inmensa mayoría, y si alguno no conocen, dales tiempo, que los van controlando con las nuevas versiones y actualizaciones de DATS diarios, incluso en sábados y domingos !



Por cierto, no será que no usas la version actual 8.7 enterprise con SP2...??? y en tal caso, segun la configuracion de su heuristica lo controla casi todo, y para lo que no, algun RootKit duro de pelar, hay el McAfee RootKit Detective que consigue desenmascarar los que se esconden y ocultan a los examenes normales:



McAfee RootKit Detective (Acceso al link de descarga)



http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip



Y para lo que sospeches, ya sabes donde estamos



saludos



ms, 5-3-2010

avbermudez
Mensajes: 3
Registrado: 24 Feb 2010, 00:20

Re: W32/Gaobot.FD

Mensaje por avbermudez » 05 Mar 2010, 19:00

Si efectivamente la fecha estaba mal, por que cuando los técnicos la revisaron la dejaron mal. Voy a volver a ejecutar las nuevas versiones.

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Re: W32/Gaobot.FD

Mensaje por lucl » 05 Mar 2010, 22:17

Y no te olvides de pegarnos el log de infosat de nuevo saludos.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: W32/Gaobot.FD

Mensaje por msc hotline sat » 06 Mar 2010, 10:22

Sí, a veces no se sabe y se va trabajando con fecha erronea y los informes la reflejan confundiendo cuando se miran :)



Pues a ver lo que dicen los informes, como muy bien indica lucl.



saludos



ms, 6-3-2010

Cerrado

Volver a “Foro Firewalls y Cortafuegos”