amizade.com virus que se replica (SOLUCIONADO)

Cerrado
Avatar de Usuario
omnius
Mensajes: 6
Registrado: 12 Jun 2007, 12:55
Ubicación: BARCELONA
Contactar:

amizade.com virus que se replica (SOLUCIONADO)

Mensaje por omnius » 12 Jun 2007, 13:00

HOla.



El otro dia mi mujer recibio una de esas cartas que te envia un "amigo" en la cual te dice que clikes un enlace para verla. el enlace es el siguiente:



http://<interceptado>/amizade.com



cuando le clicas te pide descargar o ejecutar un tal amizade.com, ella por no saber lo ejecuto. no hace nada (aparentemente), pero cual es mi sorpresa que esta mañana abro mi correo y tenia un mensaje que decia que mi mujer me habia enviado una postar de esas y no es verdad.



como elimino esto o qeu alguien me diga que es. e. google por mas que busco no hay referencias. he pasado elitiip, elistaras, spybots, etc y no encuentra nada. el nod32 tpc. alquien le ha pasado o sabe de que va???



Gracias de antemano a todo el mundo

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 12 Jun 2007, 13:52

Pues muy nuevo es !



Solo Dr Web y Panda lo detectan como backdoor/Banker y McAfee y NOD32 como sospechoso por analisis heuristico:



Ni Kaspersky ni Symantec ni Bit Defender detectan aun nada.


[quote="VirusTotal"]STATUS: FINISHEDComplete scanning result of "amizade.com", received in VirusTotal at 06.12.2007, 12:44:31 (CET).



Antivirus Version Update Result

AhnLab-V3 2007.6.12.2 06.12.2007 no virus found

AntiVir 7.4.0.32 06.12.2007 HEUR/Malware

Authentium 4.93.8 06.12.2007 no virus found

Avast 4.7.997.0 06.09.2007 no virus found

AVG 7.5.0.467 06.12.2007 no virus found

BitDefender 7.2 06.12.2007 no virus found

CAT-QuickHeal 9.00 06.11.2007 (Suspicious) - DNAScan

ClamAV devel-20070416 06.12.2007 no virus found

DrWeb 4.33 06.12.2007 BACKDOOR.Trojan

eSafe 7.0.15.0 06.11.2007 Suspicious Trojan/Worm

eTrust-Vet 30.7.3713 06.12.2007 no virus found

Ewido 4.0 06.12.2007 no virus found

FileAdvisor 1 06.12.2007 no virus found

Fortinet 2.85.0.0 06.12.2007 no virus found

F-Prot 4.3.2.48 06.11.2007 no virus found

F-Secure 6.70.13030.0 06.12.2007 no virus found

Ikarus T3.1.1.8 06.12.2007 Trojan-Spy.Win32.Delf.PD

Kaspersky 4.0.2.24 06.12.2007 no virus found

McAfee 5050 06.11.2007 New Malware.aj

Microsoft 1.2503 06.12.2007 no virus found

NOD32v2 2324 06.12.2007 probably unknown NewHeur_PE virus

Norman 5.80.02 06.11.2007 W32/Suspicious_U.gen

Panda 9.0.0.4 06.12.2007 Trj/Banker.HWU

Prevx1 V2 06.12.2007 no virus found

Sophos 4.18.0 06.12.2007 Mal/Packer

Sunbelt 2.2.907.0 06.09.2007 VIPRE.Suspicious

Symantec 10 06.12.2007 no virus found

TheHacker 6.1.6.132 06.11.2007 no virus found

VBA32 3.12.0.1 06.11.2007 suspected of Trojan-Spy.xBank.8

VirusBuster 4.3.23:9 06.11.2007

Webwasher-Gateway 6.0.1 06.12.2007 Heuristic.Malware





Aditional Information

File size: 28712 bytes

MD5: 280d6f1c2c428f4ff70bff3bc73e58b5

SHA1: 426c87dd1ddd000e859a5a79db2bdf128db7a62b

packers: UPACK

packers: UPack

Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
[/quote]


Hoy mismo pasaremos a controlarlo y eliminarlo con la nueva version de hoy del ELISTARA 14.18 que estará disponible para evaluacion en esta web a partir de las 20 h GMT


[quote]ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso[/quote]




saludos



ms, 12-06-2007

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 12 Jun 2007, 14:18

Como que en articulos al respecto hablan de ocarteiro y de amizade, y a nosotros no nos ha creado nada de OCARTEIRO, posteenos log del HJT a ver en su ordenador lo que ha hecho para pulir la utilidad que estamos haciendo al respecto





[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]




[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos





saludos



ms, 12-06-2007

Avatar de Usuario
omnius
Mensajes: 6
Registrado: 12 Jun 2007, 12:55
Ubicación: BARCELONA
Contactar:

Hijackthis, el elistara se "cuelga"

Mensaje por omnius » 13 Jun 2007, 18:38

Hola.

el elistara no me lo deja ejecutar. se me queda en no responde.

posteo el log del hijackthis





Logfile of HijackThis v1.99.1

Scan saved at 17:44:01, on 13/06/2007

Platform: Unknown Windows (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16386)



Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Grisoft\AVG7\avgcc.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Windows\system32\wuauclt.exe

C:\Users\Tecnics\Downloads\ELITRIIP.18062007.EXE

C:\Users\Tecnics\Downloads\ELISTARA.22062007.EXE

C:\Program Files\Internet Explorer\ieuser.exe

C:\Users\Tecnics\AppData\Local\Temp\Temp1_hijackthis[1].zip\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll

O11 - Options group: [INTERNATIONAL] International*

O13 - Gopher Prefix:

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O20 - Winlogon Notify: avgwlntf - C:\Windows\SYSTEM32\avgwlntf.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 13 Jun 2007, 20:11

Visto que tiene VISTA (valga la redundancia) no procede usar el ELISTARA, no es compatible con dicho sistema ( o al reves, claro)



El log se ve limpio, pero vea lo que indica la descripcion y obre en consecuencia



http://seguridad.internautas.org/crimeware/html/4185.html



saludos



ms, 13-06-2007

Avatar de Usuario
omnius
Mensajes: 6
Registrado: 12 Jun 2007, 12:55
Ubicación: BARCELONA
Contactar:

PASADO elistara en el XP

Mensaje por omnius » 14 Jun 2007, 01:09

HOla.



Lo he pasado en la pc de mi mujer (donde se ejecuto por primera vez) con un xp.



paso el log del elistara que algo ha detectado.

una vez eliminado he pasado el hijackthis y a ver que podeis ver.



gracias de antemano. sois muy majos



el log del elistara:



Wed Jun 13 23:29:46 2007

EliStartPage v14.19 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\TASKMGRA.COM --> Renombrado a .VIR

Entrada Eliminada [HKLM\...\Run] "TASKMGRA"="C:\WINDOWS\system32\taskmgra.com"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Jun 13 23:29:55 2007

EliStartPage v14.19 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\TASKMGRA.COM.VIR --> Eliminado, Banker.HWU





el log del hijackthis:



Logfile of HijackThis v1.99.1

Scan saved at 0:10:25, on 14/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe

C:\WINDOWS\system32\explori.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\beatriz\CONFIG~1\Temp\Rar$EX00.531\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=3082

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\explori.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1164060956632

O17 - HKLM\System\CCS\Services\Tcpip\..\{51987AF7-8E1C-428D-B0DC-DCE3C76FE2A6}: NameServer = 192.168.1.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{5F9D4E1C-3211-4711-BF4A-0622F4AE77DF}: NameServer = 192.168.89.1

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe" -service (file missing)



Gracias otra vez



omnius.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 14 Jun 2007, 06:27

Sí, este fichero:



C:\WINDOWS\system32\explori.exe



huele a malware a distancia. Envienos dicho fichero para analizarlo:





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





Tras recibirlo, lo analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 14-06-2007



nota: y gracias por lo de majo... ya hace 59 años que me lo dicen... :lol:

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 14 Jun 2007, 17:33

Recibido el EXPLORI.EXE, contiene una nueva variante de Banker, que pasamos a controlar y eliminar con la version de hoy del ELISTARA 14.20, que estará disponble en esta web a partir de las 20 h GMT.



saludos



ms,

14-06-2007

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 14 Jun 2007, 17:52

Pues ya controlado con el ELISTARA 14.20 este EXPLORI.EXE como PWS-Banker.I, lo hemos subido a VirusTotal y cabe resaltar que, de los Tres Reyes Magos, McAfee, Kaspersky y NOD32, actualmente solo McAfee lo detecta, mientras que ni Kaspersky ni NOD32 lo huelen, ni heristicamente, como puede verse en el analisis adjunto:


[quote="VirusTotal"]
STATUS: FINISHEDComplete scanning result of "PWS-Banker.gen.I__explori_.gxe", received in VirusTotal at 06.14.2007, 16:45:22 (CET).



Antivirus Version Update Result

AhnLab-V3 2007.6.12.2 06.14.2007 no virus found

AntiVir 7.4.0.32 06.14.2007 TR/Spy.Banker.361326

Authentium 4.93.8 06.14.2007 no virus found

Avast 4.7.997.0 06.13.2007 no virus found

AVG 7.5.0.467 06.14.2007 no virus found

BitDefender 7.2 06.14.2007 Generic.Banker.Delf.92A2F79C

CAT-QuickHeal 9.00 06.14.2007 (Suspicious) - DNAScan

ClamAV devel-20070416 06.14.2007 Trojan.Bancos-1039

DrWeb 4.33 06.14.2007 DLOADER.Trojan

eSafe 7.0.15.0 06.13.2007 suspicious Trojan/Worm

eTrust-Vet 30.7.3718 06.14.2007 no virus found

Ewido 4.0 06.14.2007 Logger.Banker.ahy

FileAdvisor 1 06.14.2007 no virus found

Fortinet 2.85.0.0 06.14.2007 no virus found

F-Prot 4.3.2.48 06.14.2007 no virus found

F-Secure 6.70.13030.0 06.14.2007 no virus found

Ikarus T3.1.1.8 06.14.2007 Trojan-PWS.Win32.Small.br

Kaspersky 4.0.2.24 06.14.2007 no virus found

McAfee 5052 06.13.2007 PWS-Banker.gen.i

Microsoft 1.2503 06.14.2007 VirTool:Win32/Obfuscator.C

NOD32v2 2329 06.14.2007 no virus found

Norman 5.80.02 06.14.2007 W32/Suspicious_U.gen

Panda 9.0.0.4 06.14.2007 Suspicious file

Prevx1 V2 06.14.2007 Covert.Sys.Exec

Sophos 4.18.0 06.12.2007 Mal/DelpBanc-A

Sunbelt 2.2.907.0 06.14.2007 VIPRE.Suspicious

Symantec 10 06.14.2007 Downloader.Bancos

TheHacker 6.1.6.133 06.14.2007 no virus found

VBA32 3.12.0.1 06.13.2007 no virus found

VirusBuster 4.3.23:9 06.14.2007

Webwasher-Gateway 6.0.1 06.14.2007 Trojan.Spy.Banker.361326





Aditional Information

File size: 361326 bytes

MD5: edf47a536777e7982fb738a7e597fc06

SHA1: 14a052dc9d82bae05a6fb0bea9953432f7b6f65a

packers: UPACK

packers: UPack

Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=9ecc100743600

Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
[/quote]


Así que los forofos de dichos otros antivirus, cuidadin... :wink:



Suerte que con el ELISTARA de hoy 14.20 ya se controla ! (y con McAfee, claro :roll: )



saludos



ms, 14-06-2007

Avatar de Usuario
omnius
Mensajes: 6
Registrado: 12 Jun 2007, 12:55
Ubicación: BARCELONA
Contactar:

Explori.exe que hace?

Mensaje por omnius » 15 Jun 2007, 17:51

Hola. Ya por curiosidad, ya que parece que esta el tema resuleto, se sabe que hace este explori.exe?



gracias

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 15 Jun 2007, 20:08

El nombre con el que McAfee lo detecta lo dice todo:



[b]McAfee 5052 06.13.2007 PWS-Banker.gen.i [/b]



Es un cazapasswords bancario !





Aqui tiene informacion generica de unas cuantas variantes, aunque no especificamente del explori ya que este aun no lo detectan todos.



http://www.vsantivirus.com/spy-banker.htm



saludos



ms, 15-06-2007

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 15 Jun 2007, 20:10

Y si nos postea el contenido del infosat.txt para ver que el ELISTARA 14.20 ha controlado este malware, y no tiene mas anomalias, pasaremos a dar el tema por solucionado



Esperamos dicho informe, gracias



saludos



ms, 15-06-2007

Avatar de Usuario
omnius
Mensajes: 6
Registrado: 12 Jun 2007, 12:55
Ubicación: BARCELONA
Contactar:

infosat.txt

Mensaje por omnius » 16 Jun 2007, 22:16

Ahi van los logs:



El ElistarA



Sat Jun 16 13:06:56 2007

EliStartPage v14.21 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Jun 16 13:07:07 2007

EliStartPage v14.21 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



El HJD



Logfile of HijackThis v1.99.1

Scan saved at 21:23:38, on 16/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\beatriz\CONFIG~1\Temp\Rar$EX00.063\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=3082

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1164060956632

O17 - HKLM\System\CCS\Services\Tcpip\..\{51987AF7-8E1C-428D-B0DC-DCE3C76FE2A6}: NameServer = 192.168.1.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{5F9D4E1C-3211-4711-BF4A-0622F4AE77DF}: NameServer = 192.168.89.1

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe" -service (file missing)



a ver q tal.



un saludo



Omnius

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 25 Ago 2007, 19:20

En revision de post no cerrados:



Eliminaste parte del Infosat.txt y no se ve la actuacion del ELISTARA 14.20, y viendo que en el 14.21 ya no lo detecta y que en el log del HJT ultimo ya no aparece, señal que lo solucionamos previamente, por lo que, solucionado el problema, se cierra el Tema



Es preferible no borrar el infosat.txt, pues es un historico con el que vemos los preocesos anteriores, sino hemos de suponerlos ...



saludos



ms, 25-08-2007

Cerrado

Volver a “Foro Virus - Cuentanos tu problema”