RDN/Suspicious.bfr y Otros

Cerrado
geoda
Mensajes: 139
Registrado: 09 Abr 2009, 00:44

RDN/Suspicious.bfr y Otros

Mensaje por geoda » 14 Abr 2016, 02:36

Amigos de zonavirus como les va tengo un grave problema en mi Laptop, Tengo Dos virus que no lo puedo eliminar y se contiaga al dispositivo Usb, al celular elipen esta activado

[b][color=#FF0000]El Primero[/color][/b]

El [b]EliStartPage [/b] no lo reconoce ni em modo Seguro y normal pero cusndo icicio me sale windrv.exe un codigo enn Memoria Error

el [b]Malwarebytes Anti-Malware Coprporate[/b] no Reconoce per lo elimina el EliStartPage (mas abajo informe)

[b]MCShield ::Anti-Malware Tool[/b]: Informe solo USB pero sigue ya unas mil veces me paso

MCShield ::Anti-Malware Tool:: http://www.mcshield.net/



>>> v 3.0.5.28 / DB: 2016.2.21.1 / Windows 7 Professional<<<

12/04/2016 08:45:58 p.m. > Unidad K: - análisis comenzó (Ninguna designación ~3853 MB, FAT32 memoria flash )...

>>> K:\autorun.inf > Sospechoso > Renombrado. (MD5: 7823a22559151b25e0b572914c684c9c)

---> Nota: ¡Se han encontrado rastros de replicadores de archivos!

>>> K:\autorun.inf.vir - Malware > Eliminado. (16.04.12. 20.46 autorun.inf.vir.412274; MD5: 7823a22559151b25e0b572914c684c9c)

>>> K:\windrv.exe - Malware > Eliminado. (16.04.12. 20.46 windrv.exe.955513; MD5: ce43f590971ecabf5e8310eee6a76ab8)

>>> K:\Private.exe - Malware > Eliminado. (16.04.12. 20.46 Private.exe.233785; MD5: ce43f590971ecabf5e8310eee6a76ab8)

>>> K:\Movies.exe - Malware > Eliminado. (16.04.12. 20.46 Movies.exe.732723; MD5: ce43f590971ecabf5e8310eee6a76ab8)

>>> K:\Pictures.exe - Malware > Eliminado. (16.04.12. 20.46 Pictures.exe.45631; MD5: ce43f590971ecabf5e8310eee6a76ab8)

>>> K:\Documents.exe - Malware > Eliminado. (16.04.12. 20.46 Documents.exe.773153; MD5: ce43f590971ecabf5e8310eee6a76ab8)

>>> K:\Secret.exe - Malware > Eliminado. (16.04.12. 20.46 Secret.exe.538722; MD5: ce43f590971ecabf5e8310eee6a76ab8)

>>> K:\Music.exe - Malware > Eliminado. (16.04.12. 20.46 Music.exe.779034; MD5: ce43f590971ecabf5e8310eee6a76ab8)

>>> K:\505050.exe - Malware > Eliminado. (16.04.12. 20.46 505050.exe.474677; MD5: ce43f590971ecabf5e8310eee6a76ab8)

>>> K:\ZentimoSettings.ini - Malware > Eliminado. (16.04.12. 20.46 ZentimoSettings.ini.978294; MD5: a7ca88981c307c111ccd9fc52637f345)

=> Archivos maliciosos : 10/10 eliminado.

Archivos subidos como [b]Muestra1.rar [/b] estos tres

[b]contraseña[/b] virus



Fichero: 505050.rar | Tamaño: 224,14 Kb

MD5: F5E734715F3C1C20F84CF5159C2242BC

Fichero: autorun.inf.rar | Tamaño: 594 Bytes

MD5: 24A20E52CCED990B7CDEACF3339C3639

Fichero: windrv.rar | Tamaño: 224,14 Kb

MD5: A41C4403A4B1B292146563DF55FB3AF2

[color=#0000BF][b]Segundo[/b][/color]

No lo detecta ninguno

Esto es subido como [b]muestra2.rar[/b]

[b]contraseña[/b] virus

Fichero: DC_13042016(11).rar | Tamaño: 341,35 Kb

MD5: 3C39C8F025B11A91442366FDFC4D7579

Fichero: 18732-Slip.jpg.rar | Tamaño: 512,65 Kb

MD5: AB8F9FB121DCDBFDCFD44701F2FD5296

Fichero: DMC_2382983282938111.jpg.rar | Tamaño: 254,71 Kb

MD5: 6602750984B05BFFF261EE2B4A83A66C

[color=#0000BF][b]Tercero[/b][/color]

No lo detecta ninguno p

Esto es subido como [b]muestra3.rar[/b]

[b]contraseña[/b] virus

Fichero: new Order.zip | Tamaño: 1,1 MB

MD5: 1D0240AB8D4D2176539AA49FE4C0D07A

geoda
Mensajes: 139
Registrado: 09 Abr 2009, 00:44

Re: RDN/Suspicious.bfr y Otros

Mensaje por geoda » 14 Abr 2016, 02:49

(13-4-2016 01:05:15 (GMT))

EliStartPage v34.31 (c)2016 S.G.H. / Satinfo S.L. (Actualizado el 11 de Abril del 2016)

--------------------------------------------------

Sistema Operativo: Windows 7 Professional (6.1.0)

Usuario: Gloria a DIOS

ID de Usuario: S-1-5-21-239452413-611455728-1113305012-1000

Cadenas Víricas: 25695

Lista de Acciones (por Acción Directa):

Detectado HOSTS no Standar.

Restaurado HOSTS por el Original.

Eliminada Carpeta "C:\WINDOWS\SYSTEM32\Adobe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Lista de Acciones (por Exploración):

Explorando "C:\"

(C:\Program Files\Malwarebytes Anti-Malware\MAM.exe -> Eliminado, AdWare.Eorezo

C:\SkinPack\RP.EXE --> Eliminado, StartPage.OHY(dr)

C:\WINDOWS\system32\AUTODISC.DLL --> Eliminado, FakeMS.AutoDisc

C:\Malwarebytes Anti-Malware\MBAM-SETUP-CORPORATE-1.80.0.1010.EXE --> Infectado, AdWare.Eorezo



Explorando "D:\Antivirus\Malwarebytes Anti-Malware 2"

D:\Instaladores 2016\Antivirus\Malwarebytes Anti-Malware 2\MBAM-SETUP-CORPORATE-1.80.0.1010.EXE --> Infectado, AdWare.Eorezo



Nº Total de Directorios: 21549

Nº Total de Ficheros: 177113

Nº de Ficheros Analizados: 106415

Nº de Ficheros Infectados: 3

Nº de Ficheros Eliminados: 3



(13-4-2016 01:05:34 (GMT))

EliStartPage v34.31 (c)2016 S.G.H. / Satinfo S.L. (Actualizado el 11 de Abril del 2016)

--------------------------------------------------

Sistema Operativo: Windows 7 Professional (6.1.0)

Usuario: Gloria a DIOS

ID de Usuario: S-1-5-21-239452413-611455728-1113305012-1000

Cadenas Víricas: 25695



Lista de Acciones (por Cierre):

Detectados Programas Potecialmente No Deseados (PUPs).

Ejecute el EliPUPs para proceder con su Desinstalación.

"Intel(R) TV Wizard"

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: RDN/Suspicious.bfr y Otros

Mensaje por msc hotline sat » 14 Abr 2016, 08:00

Hola geoda !



Veo que tienes problemas con algun que otro virus de pendrive, pero no de los que infectan el Autorun.inf, que es lo que controla el Elipen, evitando la infeccion/propagacion por dicho medio, sino que existe otro tipo de virus que infecta pendrives asi como otros medios, y que se ocultan en ficheros ocultos y/o renombrados, que los ejecuta el usuario sin saber lo que son, claro.



Y si nos envias el MBAM que usas, miraremos de excluir la cadena de deteccion del adware Eorezo que contiene, ya que igual seguramente pasa lo que a ellos con el ELISTARA, en el que detectan falsos positivos por las cadenas de deteccion que contiene.



Pues cuando recibamos en la empresa las muestras que nos envias, (a esta hora aun estoy en casa) las analizaremos y pasaremos a controlar, de lo cual informaremos como respuesta a este mismo Tema.



Espero que hoy mismo lo podamos dar por solucionado



saludos



ms, 14-4-2016

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: RDN/Suspicious.bfr y Otros

Mensaje por msc hotline sat » 14 Abr 2016, 16:33

Aun que no hemos recibido el MBAM pedido, te reporto el control de las muestras que nos has enviado:



[b]

Ya controlados con actual EliStarA[/b]


----------------------------------

55.EXE ---------> Keylogger.Bladabindi

777.EXE --------> Keylogger.Bladabindi

HAIFA.JPG.EXE --> Keylogger.Bladabindi

STUB.EXE -------> Keylogger.Fynloski

аня интим.EXE --> Keylogger.Fynloski





(otra vez, antes de enviarnos muestras para analizar, comprueba que no sean ya detectadas por ELISTARA actual ...)





[b]

Añadidos al EliStarA v34.34[/b]


--------------------

autorun.inf, windrv.exe y 505050.exe -> Trojan.Skeeyah

Popup.exe ----------------------------> Trojan.Atros3

18732-Slip.jpg.scr -------------------> KeyLogger.OAB

DC_13042016(11).scr ------------------> Keylogger.Fynloski

DMC_2382983282938111.jpg.exe ---------> Keylogger.Fynloski

new Order.exe ------------------------> Spy.ZBot.AB





El ELISTARA 34.34 indicado, estará disponible en nuestra web a partir de las 18 h CEST de hoy



saludos



ms, 14-4-2016

geoda
Mensajes: 139
Registrado: 09 Abr 2009, 00:44

Re: RDN/Suspicious.bfr y Otros

Mensaje por geoda » 19 Abr 2016, 03:51

Amigo gracias por dar una respuesta , me disculpo con ustedes por por enviar muestras ya enviadas me equivoque al enviar



en cuanto al problema el MBAM pedido, no lo puedo enviar por que lo borro el EliStartPage



solucione el problema amigos y lo cerramos el hilo





(18-4-2016 22:12:30 (GMT))

EliStartPage v34.36 (c)2016 S.G.H. / Satinfo S.L. (Actualizado el 18 de Abril del 2016)

--------------------------------------------------

Sistema Operativo: Windows 7 Professional (6.1.0)

Usuario: Gloria a DIOS

ID de Usuario: S-1-5-21-239452413-611455728-1113305012-1000

Cadenas Víricas: 25759



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(18-4-2016 22:13:18 (GMT))

EliStartPage v34.36 (c)2016 S.G.H. / Satinfo S.L. (Actualizado el 18 de Abril del 2016)

--------------------------------------------------

Sistema Operativo: Windows 7 Professional (6.1.0)

Usuario: Gloria a DIOS

ID de Usuario: S-1-5-21-239452413-611455728-1113305012-1000

Cadenas Víricas: 25759



Lista de Acciones (por Exploración):

Lista de Acciones (por Exploración):



C:\MUGEN.VBS --> Eliminado, VBS.Runner.C

C:\autorun.inf.vir --> Eliminado, Trojan.Skeeyah

C:\windrv.exe --> Eliminado, Trojan.Skeeyah

C:\new Order.exe --> Eliminado, Trojan.Skeeyah

C:\SAFEDRV.EXE --> Eliminado, AutoRun.Yeltminky

C:\Music.exe --> Eliminado, Trojan.Skeeyah

C:\505050.exe --> Eliminado, Trojan.Skeeyah

C:\MICROSOFT.VBS --> Eliminado, VBS.Runner.C

C:\SAFEDRV.LNK --> Eliminado, VBS.Runner.C(lnk)

C:\QUIMICA.LNK --> Eliminado, VBS.Runner.C(lnk)

C:\.LNK --> Eliminado, VBS.Runner.C(lnk)

C:\Program Files\GRETECH\GomPlayer\Popup.exe --> Eliminado Trojan.Atros3

C:\Users\Gloria a DIOS\AppData\Local\windrv.exe --> Eliminado, Trojan.Skeeyah

C:\Users\Gloria a DIOS\AppData\Local\Temp\DMC_2382983282938111.jpg.exe --> Eliminado Keylogger.Fynloski

C:\Users\Gloria a DIOS\AppData\Local\Datos de programa\Malwarebytes\Malwarebytes' Anti-Malware\MBAM-SETUP.EXE --> Eliminado, AdWare.Eorezo

C:\Users\Gloria a DIOS\AppData\Local\VirtualStore\Windows\System32\windrv.exe --> Eliminado, Trojan.Skeeyah

C:\Users\Gloria a DIOS\AppData\Local\VirtualStore\Windows\System32\new Order.exe--> Eliminado Spy.ZBot.AB



Nº Total de Directorios: 20623

Nº Total de Ficheros: 115014

Nº de Ficheros Analizados: 4207

Nº de Ficheros Infectados: 16

Nº de Ficheros Limpiados: 16

Exploración Detenida por el Usuario.



(18-4-2016 22:13:18 (GMT))

EliGedza v2.1 (c)2012 S.G.H. / Satinfo S.L.

--------------------------------------------

Sistema Operativo: Windows 7 Professional (6.1.0)

Usuario: Gloria a DIOS

ID de Usuario: S-1-5-21-239452413-611455728-1113305012-1000



Lista de Acciones (por Exploración):

C:\Muestras\EARTA.MHT.Muestra EliGedza v2.1

a "virus@satinfo.es". Gracias.



C:\sendi.exe --> Eliminado Israfel

C:\iwn.dat --> Eliminado Israfel

C:\ixn.dat --> Eliminado Israfel

C:\sachielc.lnk --> Eliminado Israfel

C:\AvrilLavigne.jpg --> Eliminado Israfel

C:\Program Files\Microsoft Office\Office12.exe --> --> Eliminado Israfel

C:\Users\Gloria a DIOS\AppData\Local\File.vbs --> Eliminado Israfel

C:\Users\Gloria a DIOS\AppData\Local\regsrv.exe --> Eliminado Gedza(KillAV)

C:\Users\Gloria a DIOS\AppData\Local\File.vbs --> Eliminado Israfel

C:\Users\Gloria a DIOS\AppData\Local\regsrv.exe --> Eliminado Gedza(KillAV)

C:\Users\Gloria a DIOS\AppData\Local\File.vbs --> Eliminado Israfel

C:\Users\Gloria a DIOS\AppData\Local\regsrv.exe --> Eliminado Gedza(KillAV)

C:\Users\Gloria a DIOS\AppData\Local\File.vbs --> Eliminado Israfel

C:\Users\Gloria a DIOS\AppData\Local\regsrv.exe --> Eliminado Gedza(KillAV)

C:\Users\Gloria a DIOS\AppData\Local\File.vbs --> Eliminado Israfel

C:\Users\Gloria a DIOS\AppData\Local\regsrv.exe --> Eliminado Gedza(KillAV)

C:\Users\Gloria a DIOS\AppData\Local\VirtualStore\Windows\System32\Kernel32.win --> Eliminado Israfel

C:\Users\Gloria a DIOS\AppData\Local\VirtualStore\Windows\System32\mouse_configurator.win --> Eliminado Israfel

C:\Users\Gloria a DIOS\AppData\Local\VirtualStore\Windows\System32\winmgd.win --> Eliminado Israfel



Nº Total de Directorios: 20623

Nº Total de Ficheros: 115014

Nº de Ficheros Analizados: 4207

Nº de Ficheros Infectados: 19

Nº de Ficheros Limpiados: 19

Exploración Detenida por el Usuario.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: RDN/Suspicious.bfr y Otros

Mensaje por msc hotline sat » 19 Abr 2016, 11:45

Pues vemos que el ELISTARA hizo una buena limpieza !



Y dando por solucionado el Tema, procedemos a cerrarlo





saludos



ms, 19-4-2016





NOTA: Y sobre el adware del MBAM detectado por el ELISTARA, si lo vuelves a instalar otra vez, cuando pases el ELISTARA selecciona que detecte nalwares sin eliminarlos, y si detecta de nuevo dicho MBAM, envianoslo y corregiremos la deteccion de dicho adware, buscando otra cadena que no contenga dicha utilidad, para que no sea detectada y asi no lo elimine en el futuro.



ms.

Cerrado

Volver a “Foro Virus - Cuentanos tu problema”