troyano trojandropper:win32/conhook.A

[ratchen69]

hola, formateé la semana pasada el pc por un virus o troyano, reinstalé programas, etc... 150€ del ala me sacudieron entre mirarme lo del virus que al final no me solucionaron nada y reinstalar un programa de trabajo, bien y llevo 3 días con el ordenador formateado y al pasar el windows defender me dice que tengo el trojandropper:win32/conhook.A, paso el anti trojan 5.5 y me dice que no tengo puertos abiertos por troyanos, paso el norton internet security y me dice que no tengo virus, pero del windows defender me ha detectado 2 veces, lo eliminé pero otra vez, que puedo hacer??? espero no tener que formatear otra vez porque tiro el pc por la ventana, gracias.

[msc hotline sat]

Pues prueba el ELISTARA / ELINOTIF:




[quote]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]





saludos



ms, 19-07-2007

[ratchen69]

no hay forma, he pasado elistara luego vuelvo a pasar windows defender y me lo vuelve a detectar, a pesar de haberle dado a la opción quitar, agggggggggggg

[msc hotline sat]

Siempre pedimos que tras probar el ELISTARA se postee el infosat.txt ...



veamoslo



ms.

[ratchen69]

aki está





Sat Jul 14 20:45:15 2007

EliBagle v10.45 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Sat Jul 14 20:45:18 2007

EliBagle v10.45 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Jul 15 21:47:29 2007

EliBagle v10.45 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Sun Jul 15 21:47:32 2007

EliBagle v10.45 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Mon Jul 16 17:55:09 2007

EliBagle v10.45 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Mon Jul 16 17:55:11 2007

EliBagle v10.45 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Wed Jul 18 18:23:28 2007

EliBagle v10.45 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Wed Jul 18 18:23:31 2007

EliBagle v10.45 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Wed Jul 18 20:14:02 2007

EliBagle v10.45 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Wed Jul 18 20:14:04 2007

EliBagle v10.45 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Wed Jul 18 23:15:15 2007

EliBagle v10.45 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Wed Jul 18 23:15:37 2007

EliBagle v10.45 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Thu Jul 19 12:35:17 2007

EliStartPage v14.45 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jul 19 12:35:48 2007

EliStartPage v14.45 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jul 19 12:36:03 2007

EliStartPage v14.45 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

[msc hotline sat]

Ni lo conoce por cadenas, ni pide el ELINOTIF, asi que hemos de analizarlo para controlarlo:



Envianos el fichero infectado y lo monitorizaremos e implementaremos su control y eliminacion en la proxima version de nuestras utilidades.





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 19-07-2007

[ratchen69]

no se cual es el archivo infectado¡¡¡¡

[msc hotline sat]

Dices : "vuelvo a pasar windows defender y me lo vuelve a detectar"



Pues justamente el que te detecte dicha aplicacion !



saludos



ms, 18-07-2007

[ratchen69]

ok, se llama como he puesto justamente arriba, trojandropper:Win32/conhook.A pero volveré a pasar el wind.defender y confirmaré.gracias

[ratchen69]

me sale si le hago un examen completo, si le hago examen normal no me lo detecta.

[msc hotline sat]

Sí, este es el nombre del virus que contiene <EL FICHERO INFECTADO> que es el que nos tienes que enviar.



saludos



ms, 19-07-2007

[ratchen69]

no me deja copiar y pegar pero dice lo siguiente



troyano instalador de malware



recomendación

quitar este software inmediatamente



recursos:

file:

c:\documents and settings\All Users\Datos de programa\Symantec\Norton Antivirus\Quarantine\3C4243A0.exe->(CryptFF)->(UPX)



containerfile:

c:\documents and settings\All Users\Datos de programa\Symantec\Norton Antivirus\Quarantine\3C4243A0.exe





a ver si podeis sacar alguna conclusión, me voy de vacaciones así k si no podemos solucionarlo hoy o mañana a la vuelta buscaré el post. gracias

[msc hotline sat]

Claro que no puedes tocarlo, porque tienes el antivirus residente!!!



Desactiva el antivirus tiempo real, o arranca en modo seguro para que noesté cargado, y empaqueta dicho fichero en un ZIP o RAR con password VIRUS, a partir de lo cual ya no será detectado y podrás enviarlo sin problemas.



saludos



ms, 19-07-2007

[ratchen69]

este informe me ha dado el panda antivirus online que he realizado



Incidencia Estado Elemento



Adware:Adware/BHO No desinfectado C:\Archivos de programa\eMule\Incoming\ ! ad aware 2007 pro crack.zip[ad aware 2007 pro crack.exe]

Spyware:Cookie/YieldManager No desinfectado C:\Documents and Settings\roberto\Cookies\roberto@ad.yieldmanager[1].txt

Spyware:Cookie/Adserver No desinfectado C:\Documents and Settings\roberto\Cookies\roberto@adserver.terra[1].txt

Spyware:Cookie/Doubleclick No desinfectado C:\Documents and Settings\roberto\Cookies\roberto@doubleclick[1].txt

Spyware:Cookie/onestat.com No desinfectado C:\Documents and Settings\roberto\Cookies\roberto@stat.onestat[2].txt

Spyware:Cookie/Statcounter No desinfectado C:\Documents and Settings\roberto\Cookies\roberto@statcounter[1].txt

Spyware:Cookie/Tradedoubler No desinfectado C:\Documents and Settings\roberto\Cookies\roberto@tradedoubler[1].txt

Spyware:Cookie/ademails

[ratchen69]

a ver k ya no se k hacer¡¡¡¡¡¡, desactivo norton internet security, reinicio modo seguro con funciones de red, ejecuto windows defender pero el programa no puede conectarse, deshabilito antivirus en modo normal, paso el windows defender y cuando termina sigo sin poder hacer nada con la información que me da, el problema es que cada vez que lo hago cuesta 35 minutos. gracias

[msc hotline sat]

Repetimos...



"Desactiva el antivirus tiempo real, o arranca en modo seguro para que noesté cargado, y empaqueta dicho fichero en un ZIP o RAR con password VIRUS, a partir de lo cual ya no será detectado y podrás enviarlo sin problemas."



Nadie te dice que hagas nada mas !!!



ms.

[ratchen69]

esto he encontrado sobre el Dropper, aunque no es exactamente el mismo





Troj/Dropper.W32.ExeStealth. Libera y ejecuta troyanos

http://www.vsantivirus.com/exe-stealth.htm



Nombre: Troj/Dropper.W32.ExeStealth

Tipo: TrojanDropper

Alias: ExeStealth, TrojanDropper.Win32.ExeStealth, EXE Stealth

Fecha: 2/dic/02

Fuente: Kaspersky



Este programa, no es técnicamente un caballo de Troya en si mismo, pero está diseñado para esconder cualquier otro archivo ejecutable dentro de él. Este archivo (un troyano o un virus), puede luego ser liberado en la computadora y luego ejecutado, todo en forma silenciosa y clandestina, lo que convierte a esta "herramienta" en un troyano.



Un DROPPER (o cuentagotas), es un código que cuando se ejecuta "gotea" o libera un virus. Por lo tanto un "dropper" tiene la capacidad de crear un virus e infectar el sistema del usuario al ejecutarse. Cuando un "dropper" es escaneado por un antivirus, generalmente no se detectará un virus, porque el código viral no ha sido creado todavía. El virus se crea en el momento que se ejecuta el "dropper". ExeStealth en cambio, ha sido agregado a las bases de datos de casi todos los antivirus.



Cuando ExeStealth se ejecuta, no hay ninguna indicación para la víctima de que se instala y ejecuta otro programa en el sistema.



ExeStealth puede transportar y liberar un solo .EXE, y no se ejecuta si detecta la presencia de algún "debugger" como "SoftIce" en el sistema. Un debugger permite examinar paso a paso la ejecución de un programa para examinarlo y es utilizado a menudo por los investigadores de virus.



El archivo .EXE puede ser encriptado por el propio programa.



Al ejecutarse, ExeStealth guarda el valor "666" (29Ah en hexadecimal), en una variable interna, pero no parece hacer uso de ella en algún momento. Esto podría ser una prueba indirecta de que el autor o los autores, pertenezcan al grupo 29A, conocidos programadores de virus.



El paquete original de esta "herramienta" incluye varios archivos:

El propio dropper

Una utilidad de configuración para personalizarlo

Un archivo de texto (readme.txt) donde figura entre otra, la siguiente información:

EXE Stealth V2.3 Shareware by WebtoolMaster Date: 23.08.2002



Recuerde que no se trata de un troyano en si mismo, sino que puede transportar y ejecutar uno (o cualquier otro ejecutable, incluido un virus). Por ello, la limpieza de un sistema infectado en principio consiste solo en borrar este archivo y el creado por él en el sistema. Un procedimiento más extenso puede ser necesario en caso de que el troyano o virus liberado se haya ejecutado.



Mantener actualizados sus antivirus, impedirá que este dropper llegue a cumplir su cometido.

[msc hotline sat]

Ya tenemos la informacion que necesitamos (que no es precisamente esta), pero por ultima vez, envianos el fichero que te pedimos o cerramos el Tema



ms.

[ratchen69]

perdone usted pero no soy informático, lo que a ti te puede parecer sencillo para otros igual no lo es tanto, estoy volviendo a pasar el windows defender para poder coger el mensaje e insertarlo.

[ratchen69]

uffff es que no veas como se pone uno con estos problemas en el pc, horas y horas y nada¡¡¡¡

[msc hotline sat]

No hace falta que insertes del mensaje, solo que nos envies el fichero en cuestion para analizarlo, lo monitorizaremos, veremos el antes y el despues y procederemos en consecuencia a detener el proceso en memoria, restaurar claves modificadas y eliminar el gusano y restos que creara en dicho rpoceso.



Y yo tampoco soy informatico... cuando estudié mis varias carreras de ingenieria, aun no existían los ordenadores :wink: , a pesar de ello hace 25 años que estoy al frente de empresas informaticas y he participado en el nacimiento de los PC e involucrado en su desarrollo, tanto a nivel de hardware como en el software de seguridad, por ello le preciso lo que necesitamos en su caso, ya conocemos 300.000 variantes viricas, y son laas 200 que de promedio diario van apareciendo las que nos esforzamos en descubrir y controlar.



Esperamos recibir dichas muestras, no nos hagas perder mas el tiempo, gracias



ms.