Infectado con Yazzle1122 , Trojan-Zero y mas (SOLUCIONADO)

zetor · Mensaje por **zetor** » 14 Jun 2007, 00:10

Hola, el Elistara me encontro el [color=red]Yazzle1122[/color], y el [color=brown]Dialer Ras-DE[/color]; este ultimo descubri que se instala al instalar el driver del modem marca Huawei provisto por Arnet (proveedor de internet, Argentina), por lo que quisiera saber si es un falso positivo.

Ademas el SpySweeper me encontro el [color=red]Trojan-Zero[/color], y el Ad-Aware otras cosas que no las se porque no fui yo el que lo corrio.

La unica referencia en la web sobre el Yazzle1122, esta en esta pag. por lo que quisiera mas informacion , si tiene otros nombres y los sintomas que produce.

Ademas decirme si es que debo seguir chequeando por mas infecciones, pasaron cosas extrañas los ultimos dos dias en mi pc.

Gracias anticipadas

Mensaje por **msc hotline sat** » 14 Jun 2007, 06:52

Dice "...y el Dialer Ras-DE; este ultimo descubri que se instala al instalar el driver del modem marca Huawei" pues envienos el fichero donde se detecta, indicando bien claro POSIBLE FALSO POSITIVO DEL ELISTARA, y lo analizaremos y en su caso, lo excluiriamos de ser controlado.

Sobre el Yazzle1122 es un adware, variante de YourSiteBar o IstBar

http://www.symantec.com/security_response/writeup.jsp?docid=2005-090615-4926-99

y si quiere saber si aun tiene algo su ordenador, lance estos AV ONLINE:

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]

y una manera facil y rapida de saber si se tiene virus en memoria es lanzar este escaneo ONLINE que tarda menos de 1 minuto:

testeo ONLINE de virus en memoria

[url=https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus/]~~[b]~~[color=Darknesred]testeo ONLINE de virus en memoria[/color][/b][/url]

y nos informa del resultado, gracias

saludos

ms, 14-06-2007

zetor · Mensaje por **zetor** » 14 Jun 2007, 23:11

Lamentablemente Elistara borro el archivo, pero prometo una vez desinfectado, reinstalar el driver para poder enviarlo.

Del Yazzle1122, lo que me quedo claro es que se propaga a travez de un ActiveX, por cierto, olvide poner el reporte que aqui va

Wed Jun 13 04:54:38 2007

EliStartPage v14.18 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jun 13 04:54:50 2007

EliStartPage v14.18 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Jun 13 04:56:25 2007

EliStartPage v14.18 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\Prog. Vs\Winamp\Winamp_5_35_Build_1305\[color=darkblue]Winamp_es\ESPWINAMP5.33.EXE --> Eliminado, Yazzle1122[/color]

Wed Jun 13 05:15:31 2007

EliStartPage v14.18 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Jun 13 05:15:36 2007

EliStartPage v14.18 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Wed Jun 13 05:15:56 2007

EliStartPage v14.18 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\ADIRAS.EXE --> Eliminado, Dialer-RAS.DE

Lo pongo para mostrar que estaba instalado en .exe del traductor al español del Winamp, bajado del sitio oficial... Si es que puedo descartar que este haya bajado infectado, como pudo haber llegado el adware hasta ahí?

El E-Trust me encontro lo siguiente

[url=http://imageshack.us]

[img]http://img159.imageshack.us/img159/4766/etrustscaneopp0.jpg[/img][/url]

El [color=darkred]~~[b]~~Adware Estalive[/b][/color] estaba ubicado en un ActiveX y como el E-Trust online no desinfecta, me fui al regedit y lo elimine manualmente, me diras si estuvo bien o mal hecho.

El troyano [color=red]~~[b]~~Un-named[/b][/color], ~~[b]~~no fue eliminado[/b] y el nombre "adiras" esta intimamente relacionado con el Dialer Ras-DE ,como tambien el autoclk.exe, encontrado por Trend Micro:

Adware [color=red]~~[b]~~BHOT IEHELPER[/b][/color] ubicado EN C:\WINDOWS\autoclk.exe

Nano Scan, Kaspersky, Elitriip, Avast, no encontraron nada.

AhnLab, encontro windows AdwareBbsse.3485696 en el Ares\tcpip-patcher.sys , pero supongo que es falso positivo.

El Hauri lo deje para comentarlo al ultimo porque intente correrlo cuatro veces y las cuatro me produjo un BSOD con mensaje de error PAGE_FAULT_NONPAGE_AREA apenas iniciado, otras veces lo corri sin que me pasara esto.

Espero tus instrucciones, gracias por responder.

Saludos

Mensaje por **msc hotline sat** » 15 Jun 2007, 11:21

Pues cuando envies la muestra para excluir del control, indica gordo y claro FALSO POSITIVO, porque si no dices nada se consideraría malware ya controlado.

Y bien eliminado el Yazzle

Y si tiene experiencia y borra claves del Registro cononocimiento de causa, ya está bien , lo unico es lo delicado que es y la facilidad de equivocarse, por lo que siempre facilitamos utilidades que lo hacen automaticamente, sin tener que arriesgarse con el REGEDIT, aparte de que este, a veces, los propios virus lo desactivan, de forma que no puede usarse...

y ya quedamos pendientes del envio del FALSO POSITIVO PARA OBRAR EN CONSECUENCIA

saludos

ms, 15-06-2007

zetor · Mensaje por **zetor** » 15 Jun 2007, 21:59

De acuerdo, pero no hice ninguna accion con el [color=red]~~[b]~~Un-named Trojan[/b][/color] detectado con E-Trust, debo tambien eliminar la clave?.. Corri tambien el F-Secure que no la encontro pero si encontro otra en el programa Hard Disk Sentinel; y tambien corri el a-Squared antimalware que me encontro otra en el programa BS-Player..Entiendo que no esta permitido postear aqui el log de Hijackthis, por lo que lo hare en donde corresponde porque me quedaron los siguientes posibles sintomas de actividad de algun bicho:

[list]

El icono que sale en las pestañas del IE7 esta cambiado, por ej. en Yahoo, sale el icono de Imageshack, cuando abro otro foro, sale el icono de google en lugar del de este, en Mis Favoritos, el icono del foro de Kaspersky esta cambiado por el de Imageshack..

[/list][list]

Cuando reinicio desde modo seguro a modo normal, la ventana del explorador sale reducida y no a pantalla completa

[/list][list]

En cualquier momento me quedo sin coneccion a internet y da mucho trabajo poder restaurarla, debo aclarar que el modem huawei es de muy mala calidad y en los ultimos 15 dias me lo cambiaron dos veces, pero me preocupa que en realidad sea por accion de algun malware.

[/list][list]

Cada vez que quise scanear online con Hauri, me provoco un BSOD, cuando antes ya lo habia usado sin problemas.

[/list]
Quedo a la espera de cualquier indicacion.

Saludos y gracias por la paciencia.

Mensaje por **msc hotline sat** » 18 Jun 2007, 14:46

Recibido el fichero FALSO POSITIVO, se implementa en la base de datos del ELISTARA como tal, a partir de la 14.22 de hoy

Sobre las otras cosas que indicas, lo veremos en tu Tema del HJT

saludos

ms, 18-06-2007

zetor · Mensaje por **zetor** » 19 Jun 2007, 00:02

Antes que nada, me alegra haber contribuido a mejorar la utilidad Elistara.

Lo primero que hice es descargar la nueva version y correrla sobre el HD y tambien sobre el cd de instalacion del driver del modem, el scaneo esta repetido porque no sabia que habia que actualizar tambien el Elinotif.dll, aunque no hubo cambios en los resultados:

Mon Jun 18 14:54:44 2007

EliStartPage v14.22 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Mon Jun 18 14:55:04 2007

EliStartPage v14.22 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon Jun 18 14:55:16 2007

EliStartPage v14.18 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\AUTOCLK.EXE --> Infectado, Sqwire.C

Mon Jun 18 14:57:04 2007

EliStartPage v14.22 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Mon Jun 18 15:15:09 2007

EliStartPage v14.22 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Mon Jun 18 15:16:36 2007

EliStartPage v14.22 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\USB Driver\Windows\Zona Telecom\AUTOCLK.EXE --> Infectado, Sqwire.C

E:\USB Driver\Windows\Zona Telefonica\AUTOCLK.EXE --> Infectado, Sqwire.C

Mon Jun 18 17:44:35 2007

EliStartPage v14.22 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jun 18 17:44:44 2007

EliStartPage v14.22 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\AUTOCLK.EXE --> Infectado, Sqwire.C

Mon Jun 18 17:46:41 2007

EliStartPage v14.22 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Mon Jun 18 17:46:59 2007

EliStartPage v14.22 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\USB Driver\Windows\Zona Telecom\AUTOCLK.EXE --> Infectado, Sqwire.C

E:\USB Driver\Windows\Zona Telefonica\AUTOCLK.EXE --> Infectado, Sqwire.C

Debo hablar con un abogado para iniciarle juicio a Telecom en este caso que es quien me proveyó del modem y del cd de instalacion? :roll:

Mas alla de cuestiones legales, el cd instala el AUTOCLK.EXE infectado con Sqwire.C y el Adiras.exe que hasta ayer daba falso positivo con Elistara; pero no me queda claro que habiendo corrido nuevamente el E-Trust Antispyware online, me volvio a encontrar el Estalive en la misma clave del registro que ya habia eliminado manualmente...Esto es debido a que reinstale el driver y tiene el mismo origen?.. En cualquier caso como lo elimino definitivamente?

Gracias

Mensaje por **msc hotline sat** » 19 Jun 2007, 07:59

Pues no he visto que el ELINOTIF lo necesitara para nada... Solo se utiliza en determinados casos en los que el virus arranca aun en modo seguro, y para eliminarlo antes de que se ponga en marcha hemos de instalar en el registro un artilugio que lo adelante y lo elimine antes de ponerse en marcha, y eso es lo que hacemos con el ELINOTIF, pero menos de un 10 % de las veces !

Y la cuestion es que haya solucionado el problema, y no le aconsejo andar exigiendo responsabilidades en software, que muchas veces se utiliza de terceros, o rutinas que pueden tener doble fuincion, e incluso como ha visto hay falsas detecciones debido a coincidencia de cadenas...

Para el ADWARE ESTALIVE, mire de enviarnos muestra del fichero que usa ESTALIVE.DLL para analizarlo y eliminarlo de raiz, ya que a veces se regeneran si no se hace exhaustivamente.

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 19-06-2007

zetor · Mensaje por **zetor** » 19 Jun 2007, 08:25

En este caso no es posible enviar muestra ya que es en una clave del registro donde informa E-Trust, la misma que esta mostrada en la captura de cinco post mas arriba y que ya la habia eliminado manualmente... Por eso preguntaba si no habra sido el driver el responsable, que al reinstalarlo, reinstalo tambien el Estalive.

Ahora que si me aseguras que hay un Estalive.Dll ,necesito saber como o donde buscarlo, no me fio en el buscador de windows porque no se porque causa no encuentra ni el Adiras.exe ni el Autoclk.exe que estan en C:\Windows.

Saludos

Mensaje por **msc hotline sat** » 19 Jun 2007, 10:28

Pues no solo una sino tres DLL son las que instala, ademas de muchas claves, por lo que si solo eliminaste una y ningun fichero ... es logico que persista.

Mira la descripcion del mismo:

http://ca.com/es/securityadvisor/pest/pest.aspx?id=453099221

Y el que solo vieras una clave que no indicaba ejecucion de fichero, piensa que cada class llama a procesos no visibles directamente, que no por ello dejan de existir...

Con un inicio -> buscar mira si encuentras dichos ficheros y nos los envias para analizar, tras lo que procederemos a implementar su control y eliminacion en nuestras utilidades

saludos

ms, 19-06-2007

zetor · Mensaje por **zetor** » 19 Jun 2007, 19:19

Ni modo, otro fallo para la lista: si pongo [i]cualquier[/i] fichero de la carpeta C:\Windows, en Inicio --> Buscar en discos duros locales C y D .. no los encuentra; solo si pongo buscar en "Windows", los encuentra. Pero nada de los Dll que estan en el enlace que pusiste. Aclaro que configure para ver archivos ocultos, Mostrar el contenido de las carpetas del sistema y destildé Ocultar archivos protegidos del sistema operativo..

Tambien puse la ultima parte de algunas claves en el buscador del regedit y no las encontro; ~~[b]~~solo encuentra la misma que ya habia eliminado y que vuelve a salir en el E-Trust.[/b]
[quote]Y el que solo vieras una clave que no indicaba ejecucion de fichero, piensa que cada class llama a procesos no visibles directamente, que no por ello dejan de existir... [/quote]

El HiddenFinder, que detecta procesos ocultos, no debiera mostrarlos?

Espero tus indicaciones para poder seguir.

Gracias.

Mensaje por **msc hotline sat** » 19 Jun 2007, 19:29

No hablo de procesos ocultos, sino de simples class que ejecutan lo que tiene programado, como el caso de la clave que indicas.

Y si encuentras alguno de los ficheros que indica usar este malware nos lo envias y podremos analizarlo, sino lo que hay es lo descrito en la descripcion de CAI.

Como que vemos que tienes buenos conocimientos, espero que dicha descripcion te sea de utilidad.

Comentanos tus progresos al respecto, gracias

saludos

ms, 19-06-2007

zetor · Mensaje por **zetor** » 19 Jun 2007, 20:16

Gracias por la alabanza pero diria que soy un usuario basico con algunos avances hacia medio pero nada mas.. :oops:

Lo que quisiera es poder tener en mis manos qué mandarles, pero primero tengo que encontrarlo; y ese es el problema, ni con el buscador ni entrando a la carpeta de Windows encuentro esos Dll. Incluso en el regedit solo aparece una sola clave que de nada sirve eliminarla si no elimino tambien el Dll que la genera..Como ves, estoy en un punto muerto y necesito instrucciones para poder eliminar este adware.

Saludos

Mensaje por **msc hotline sat** » 19 Jun 2007, 20:51

Pruebe una cosa:

Arranque en modo seguro con funciones de red y lance este AV ONLINE, que es el de CAI, pero puede que ademas de detectarlo asi lo elimine:

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]

y nos comneta el resultado, gracias

saludos

ms, 19-06-2007

zetor · Mensaje por **zetor** » 19 Jun 2007, 21:52

Estoy de liga.. no puedo conectarme a internet en ms c/funciones de red porque mi modem se conecta por USB.

Lo que hice fue scanear con Trend micro y me encontro la misma clave

[url=http://img77.imageshack.us/my.php?image=trendmicro19jun07ty7.jpg]

[img]http://img77.imageshack.us/img77/885/trendmicro19jun07ty7.th.jpg[/img][/url]

Trend micro dice desinfectar, pero en este caso no se si habra sido lo mismo que eliminarla manualmente y que despues se vuelva a regenerar..

El Bestofers es un hallazgo historico que me hace Tm, pero creo (y espero) que es un falso positivo de entradas que genera el KIS.

Saludos

Mensaje por **msc hotline sat** » 19 Jun 2007, 22:08

Lo importante es que eliminando esta, eliminen o restauren otras complementarias, que es lo que trataba de hacer con el AV ONLINE de CAI, pero da igual si es Trend, el desinfector que lo desinfecte, buen desinfectador será :lol:

Ya nos contará

saludos

ms, 19-07-2007

zetor · Mensaje por **zetor** » 20 Jun 2007, 08:28

Lo importante no es si la cucaracha murio envenenada o aplastada, sino que este muerta :lol: :D :lol:

Pero CA dice explicitamente que no desinfecta y al parecer Trend si cumplio porque volvi a correr CA y ya no lo detecto.

Revisando el hilo veo que el [u]BHOT IEHELPER, estaba en el autoclk.exe [/u](ya eliminado con el nuevo Elistara), ahora me vuelve a salir pero en la misma clave que el Estalive...o sea, el autoclock es tambien responsable del Estalive..ya me estoy mareando :o

Igual siguen pasando cosas extrañas, cuando termino CA y quise cerrarlo, se reseteo el IE7 y se cerraron dos foros que tenia abiertos y cuando abri el explorer, se abrio con ventana reducida.

Con el que no hay caso es con Hauri, ya no lo corri para que encuentre algo sino porque me intriga que antes ya lo habia corrido sin problemas, pero me sigue generando BSOD. En el panel de control, a diferencia de Panda, Kaspersky ,AhnLab (online`s), Hauri no aparece. Sí tiene su carpeta en Achivos de Programa. Debo simplemente eliminarla y eliminar las entradas que haya dejado en el registro?

Saludos

Mensaje por **msc hotline sat** » 20 Jun 2007, 12:19

Modestia aparte, Trend, Kaspersky, CAI, como Symantec y McAfee, NOD32, ... son Grandes de Antivirus, mientras que Hauri... aun ha de crecer.

Y si con Trend ya ha logrado eliminar totalmente el marrano, lastima que no nos lo haya podido enviar antes para poder implementar su control en nuestras utilidades, pero como Vd dice, la cuestion es chafar bien chafada la cucaracha ! :wink:

Elimine las claves de registro del hauri y sus ficheros, no sea peor el remedio que la enfermedad

Y ya que tiene alguna anomalia, vea si REPARANDO windows lo soluciona, nosotros sin muestra, poco podemos hacer:

[quote="msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate
[/quote]

y nos cuenta el resultado, gracias

saludos

ms, 20-06-2007

zetor · Mensaje por **zetor** » 20 Jun 2007, 20:46

Lamentablemente el Win que me instalaron es el WinUE y segun entiendo, este no tiene la opcion de Reparar Windows..

No tengo ningun empacho en reinstalar el driver si es por colaborar y para sacarme la duda, para comprobar si el autoclk.exe tiene que ver con el Estalive. Pero si miras las capturas, tanto CA como Trend, informan de infeccion solo en una clave del reg. Tendre el mismo problema de no contar con un archivo para enviar. Me pregunto si en Infosat no podran comprobarlo al tener la muestra del autoclk enviada..

Transcribo lo que ya informe mas arriba y ya me esta mareando :?

encontrado por Trend Micro:

Adware BHOT IEHELPER ubicado EN C:\WINDOWS\autoclk.exe

Y el ultimo informe de Trend (ultima captura):

Adware BHOT IEHELPER ubicado en -> Clave del ActiveX

MISMA clave que CA informa que tiene el Estalive.

Saludos

zetor · Mensaje por **zetor** » 21 Jun 2007, 20:51

Tengo una novedad, hice lo necesario para ver la carpeta System Volume Information, que siempre me denegaba el acceso y por simple curiosidad, la que esta en el D. No se si tenga que ver con esto, pero luego corri el SDoc y me encontro dos infecciones ahí:

[url=http://imageshack.us]

[img]http://img481.imageshack.us/img481/6314/sdoc21jun07uq6.jpg[/img][/url]

Luego y gracias a que pusiste en mayusculas :wink: la nueva version del Elistara 14.24, me salto a la vista, la descargue, ejecute y sorpresa, me encontro el viejo conocido Yazzle1122 en la misma carpeta:

Thu Jun 21 02:39:15 2007

EliStartPage v14.24 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Thu Jun 21 02:40:38 2007

EliStartPage v14.24 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\System Volume Information\_restore{2FD96184-EC89-4B3F-9351-5EACEF44FEB8}\RP72\A0020190.EXE --> Eliminado, Yazzle1122

Se que en esta carpeta estan los archivos necesarios para la funcion de Restaurar Sistema, aunque desconozco porque hay otra con igual nombre en el C; y espero me confirmes ,pero creo que hice mal en no desactivar restaurar sistema antes de desinfectar..Lo que debiera hacer ahora es desactivar restaurar sistema y volver a scanear mejor si es en modo seguro?

Saludos

Mensaje por **msc hotline sat** » 21 Jun 2007, 20:57

No es tan grave ! Solo si fuera a restaurar a un punto de restauracion en el que hubiera la infeccion en cuestion, volveria a infectarse...

Pero como que ya ahora no está infectado, si recuerda que no debe tirar para atras en ningun caso antes de dicha fecha. ningun problema

Pero si quiere, puede desactivar la restauracion de sistema y volver a escanear, aunque igual no detecta ya nada mas...

Haga lo que haga, damos el Tema por solucionado y procedemos a cerrarlo,

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 21-06-2007