NECESITO AYUDA CON TROYANO

[Chriss]

Hola, hace 2 dias que mi antivirus estaba saltando por un tal BDS/iroffer.1228, detectado en C:\WINDOWS\system32\drivers\burn\msn.exe. El asunto es que le denegue el acceso y escanee el pc con mi antivirus por si acasso y me encontro un archivo malicioso devldr32.exe asi que lo elimine y pense que el asunto habia quedado bien. Pero mas tarde tuve otra alerta de mi antivirus por el archivo msn.exe, revise bien y nuevamente se habia generado el archivo devldr.exe ademas la carpeta burn, me parecio de dudosa reputacion, ya que tenia algunas ejecutables y archivos que tienen que ver con el mirc ya que yo utilizo el Totex, para xatear. Ademas en Archivos de programas, encontre otras carpetas inconsistentes, como: xerox, windos nt, msn gaming zone y en disco local C: una especie de ejecutable con nombre aoaaikz. Bueno, me informe del asunto y ademas encontre su utilidad elitriip asi es que la pase y elimino varias cosas anteriormente mencionadas, pero no todas como las 3 ultimas carpetas que nombre, pero que se encuentran vacias y el ultimo ejecutable. Bueno, elitriip me genero una muestra, ¿que hago con ella?, ¿que hago con las carpetas y archivo de dudosa reputacion que aun estan presentes?



De antemano muchas gracias!!

[lucl]

hola criss, debes pegarnos el log que te dejo elitriip en C infosat.txt , ademas complementa con elistara, si pasandolo no se eliminan esos ficheros tienes que renombrarlos a .vir para que no se ejecuten nuevamente, para enviar el archivo que te solicita elitriip sigue las indicaciones del link



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y te dejo link de elistara



http://www.zonavirus.com/descargas/elistara.asp



saludos

[Chriss]

Mon Aug 13 15:24:45 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Mon Aug 13 15:25:21 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sat Aug 18 17:47:33 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Sat Aug 18 17:47:40 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Aug 19 03:48:56 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Sun Aug 19 04:40:39 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\MSNMSG.EXE.Muestra EliTriIP v3.78

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MSNMSG.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\DRIVERS\OREANS32.SYS --> Eliminado

Entrada Eliminada [HKCU\...\Run] "Microsoft Update"="msnmsg.exe"

Entrada Eliminada [HKLM\...\Run] "Microsoft Update"="msnmsg.exe"

Entrada Eliminada [HKLM\...\RunServices] "Microsoft Update"="msnmsg.exe"



Sun Aug 19 04:40:58 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Crispulo\Configuración local\Archivos temporales de Internet\Content.IE5\DQ17TM78\spy[1].exe --> Eliminado, Bifrose (dropper)

C:\Documents and Settings\Crispulo\Mis documentos\UA - Cris\cris-no borrar-\Programas\Autocad\autorun.inf --> Eliminado, BackDoor.CMQ (inf)

C:\Documents and Settings\Crispulo\Mis documentos\UA - Cris\cris-no borrar-\Programas\Nuevo antivir similar kspky\mksvir2007setup.exe --> Eliminado, Bifrose (dropper)

C:\WINDOWS\devldr32.exe --> Eliminado, Bifrose (dropper)



Sun Aug 19 04:45:16 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Sun Aug 19 04:45:20 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Aug 19 04:45:44 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Aug 19 05:14:16 2007

EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Sun Aug 19 05:14:20 2007

EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Aug 19 05:19:10 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Sun Aug 19 05:19:14 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Aug 19 05:21:28 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Sun Aug 19 05:21:32 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Aug 19 06:05:56 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):







***********************************************

Bueno, alli envio el infosat, es algo extenso porque pase todas sus herramientas y mas de una ves.

Además ya envie el archivo por correo que me dejo elitrip espero tener una pronta respuesta del analisis. :wink:

[msc hotline sat]

El ELITRIIP ya aparcó el fichero mlware, y mientras no volvemos de vacaciones, sube este fichero al VirusTotal y nos posteas el resultado:



C:\Muestras\MSNMSG.EXE.Muestra EliTriIP v3.78



https://www.virustotal.com/es/



saludos



ms, 21-08-2007

[Chriss]

Análisis del archivo MSNMSG.EXE.Muestra_EliTriIP_v3.78 recibido el 21.08.2007 04:33:23 (CET)

Estado actual: análisis terminado



Resultado: 4/32 (12.5%)





Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2007.8.21.0 2007.08.21 -

AntiVir 7.4.1.62 2007.08.20 HEUR/Crypted

Authentium 4.93.8 2007.08.20 -

Avast 4.7.1029.0 2007.08.20 -

AVG 7.5.0.484 2007.08.20 -

BitDefender 7.2 2007.08.21 -

CAT-QuickHeal 9.00 2007.08.20 -

ClamAV 0.91 2007.08.21 -

DrWeb 4.33 2007.08.20 -

eSafe 7.0.15.0 2007.08.20 -

eTrust-Vet 31.1.5076 2007.08.21 -

Ewido 4.0 2007.08.20 -

FileAdvisor 1 2007.08.21 -

Fortinet 2.91.0.0 2007.08.21 -

F-Prot 4.3.2.48 2007.08.20 -

F-Secure 6.70.13030.0 2007.08.21 -

Ikarus T3.1.1.12 2007.08.20 MemScanBackdoor.VB.EV

Kaspersky 4.0.2.24 2007.08.21 -

McAfee 5101 2007.08.20 -

Microsoft 1.2803 2007.08.21 -

NOD32v2 2472 2007.08.21 -

Norman 5.80.02 2007.08.20 -

Panda 9.0.0.4 2007.08.19 -

Prevx1 V2 2007.08.21 -

Rising 19.36.60.00 2007.08.19 -

Sophos 4.20.0 2007.08.12 -

Sunbelt 2.2.907.0 2007.08.21 VIPRE.Suspicious

Symantec 10 2007.08.21 -

TheHacker 6.1.8.171 2007.08.20 -

VBA32 3.12.2.2 2007.08.21 -

VirusBuster 4.3.26:9 2007.08.20 -

Webwasher-Gateway 6.0.1 2007.08.21 Heuristic.Crypted







información adicional

Tama?rchivo: 1242703 bytes

MD5: a5ec46683dc85b6e95b8b684eaa7940b

SHA1: 00c435f1b58c885913f8d99bb17ac77b5cb2811e

packers: Themida

Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.







***********************************************

Espero que sea esto lo que me pediste :?

[msc hotline sat]

Pues muy pocos antivirus detectan algo ...



De momento está aparcado y no entrará en uso, y la semana que viene ya volvemos de vacaciones y se analizaran las muestras recibidas para implementar su control y eliminacion )de las que proceda, claro) con nuestras utilidades, lo cual se informará en el foro, pero ya, habiendo detectado y eliminado un BIFROSE y aparcado este, no debería tener anomalias, diganos su persisten y, en tal caso, cuales, gracias



saludos



ms, 21-08-2007

[Chriss]

Bueno, si a mi tambien se me hace raro que pocos antivirus detecten algo...

Asi que esperare su analisis de la muestra, imagino que tendre noticias por este mismo TEMA, me interesa que el pc quede a su 100% de normalidad, ademas quiero borrar algunas carpetas que este vicho creo, pero que no puedo ya que al intentar hacerlo, me aparece un cuadro de dialogo diciendome que "dichas carpetas no pueden eliminarse porque estan siendo utilizadas".



Nuevamente muchas gracias Lucl y Msc por su apoyo... esperare una pronta respuesta :wink:

[msc hotline sat]

Pero no se preocupe porque ya está aparcado en la carpeta muestras y no entra en uso-



La semana que viene volvemos al trabajo, aunque los primeros dias estaremos a media plantilla y con tarea acumulada :roll:



Ya informaremos



saludos



ms, 21-08-2007

[Chriss]

Se que aun estan de vacaciones, pero dejaré este post, antes de que se me olvide además porque pronto lo estare yo también. 8)



Bueno, solo queria informar que el bicho que tenía creo algunas carpetas como ya lo habia mencionado. Me tomo algo de tiempo, pero como soy algo meticuloso al menos creo que reconoci todas las carpetas creadas por este bicho. Se preguntaran, ¿por qué si eres tan meticuloso, te infectaste?...bueno, simplemente cai en la Amabilidad de prestar mi noteboock y ya ven...



Las carpetas que este bicho creo, son las siguientes:



C:\Archivos de programa\xerox

C:\Archivos de programa\windows nt

C:\Archivos de programa\netmeeting

C:\Archivos de programa\msn gaming zone

C:\Archivos de programa\movie maker

C:\Archivos de programa\microsoft frontpage

C:\Archivos de programa\Archivos comunes\Microsoft Shared

C:\Archivos de programa\Archivos comunes\speechengines

C:\WINDOWS\PCHEALTH

C:\WINDOWS\msagent

C:\WINDOWS\ime

C:\WINDOWS\srchasst



¿Como se que las ha creado el bicho? Es por la fecha de creación y hora en que se presentaron los problemas, según me informaron. Además en lo personal ya que tengo pocas cosas en mi noteboock llevo un control estricto de los archivos que tengo.

Además fácil de reconocer algunos, como por ejemplo la carpeta "xerox" ya que nunca he instalado algún producto de esta linea.



He intentado todos los medios posibles para eliminar estas carpetas de las cuales la mayoría se encuentra vacia y he leido montones de páginas referentes al tema y en ninguna se le da solución. Por lo mismo trato de dar la mayor cantidad posible de datos.



De acuerdo como lo tenia registrado estas carpetas se crearon el 19 de Agosto a las 4:48 a.m. y ahora me he dado cuenta que algunas de estas carpetas fueron modificadas a el 23 de agosto a las 3:47 a.m. cosa que se me hace bastante extraña, ya que en dicho dia y hora de modificación me encontraba durmiendo. Ahora mi duda es "Si el bicho se encuentra aparcado, ¿está este funconando aún? y si no es así ¿por qué esta modificación a las carpetas en mi ausencia total? aún cuando el pc se encuentra apagado"



Agradecería algunas sugerencias, no quiero llegar al extremo de tener que formatear mi pc, ya que es relativamente nuevo y al menos me gustaría esperar un año antes de tener que hacerlo...pero si no queda de otra...

[Nelson Ayala]

hola Chriss: estaba leyendo tu post y si mal no recuerdo estos archivos:

C:\Archivos de programa\windows nt

C:\Archivos de programa\netmeeting

C:\Archivos de programa\movie maker

C:\Archivos de programa\microsoft frontpage



son aplicaciones de Microsoft Corporation, lo raro es lo que dices de "aparecer" cuando duermes, y si las tienes vacías. Yo tengo estas mismas carpetas y estan con ficheros y aplicaciones, sólo te digo tengas precaución con Netmeeting, que te permite estar conectado o que manejen tu pc remotamente, para lo cual debes cumplir con una serie de características:

El programa Microsoft Netmeeting permite:Transferir archivos,efectuar Videoconferencias (si se cuenta con webcam), y que otra persona tome el control de nuestro ordenador personal, siempre y cuando se cumplan algunas condiciones. pero eso es muy extenso explicar. saludos, si tienes más información, me cuentas ya que si encuentras algo malo, de seguro me servirá a mi también como ayuda. saludos.

[msc hotline sat]

Hay carpetas de windows que aparentemente pueden sorprender, como esta de XEROX, pero...



La carpeta Xerox tiene su origen en un acuerdo (entre Microsoft y Xerox), que no prosperó. Esa carpeta debía contener los drivers y archivos genéricos necesarios, para el funcionamiento de los dispositivos Xerox, pero ahora sólo ha quedado como un remanente de ese acuerdo.



En caso de tener algún dispositivo Xerox, parte de los archivos necesarios para su funcionamiento, aún se instalan en esa ruta.



Si se quiere eliminar se puede buscar en C:\Windows/system32 el archivo "sfcfiles.dll", se renombra a sfcfilesold.dll, windows de va a decir que es un archivo necesario del sistema, se ignora esta advertencia y se reinicia.

Tras reiniciar ya se puede eliminar dichas carpetas



Pero total no molestan y no ocupan espacio, sugiero dejarlas estar



Y lo referente a :



"De acuerdo como lo tenia registrado estas carpetas se crearon el 19 de Agosto a las 4:48 a.m. y ahora me he dado cuenta que algunas de estas carpetas fueron modificadas a el 23 de agosto a las 3:47 a.m. "



Comprueba el reloj permanente del ordenador, a la derecha de la barra de inicio, que fecha y hora estén correctas y luego que la fecha de creacion, aparte del dia y mes, sea de este año. no sea que la casualiadd esté jugando una mala pasada por coincidir con la fecha aproximada pero de otro año ... ???



Ya nos contarás, pero no, no tiene porqué ser causa de este virus, aunque ya casi veamos meigas !



saludos



ms, 25-08-2007

[Chriss]

Sr. Ayala: Ahora que me nombras el asunto de videoconferencia, encontre un rar con una aplicación de este tipo y como no pertenecia a los documentos que suelo almacenar en la carpeta que se encontraba, simplemente la elimine, de todas maneras siempre encontre que tal archivo era de dudosa procedencia.

otra cosa...¿No esta prohibido postear en temas paralelos? bueno suerte y gracias de todas maneras por el dato.



Sr. Msc Hotline: Si el reloj funciona a la perfección ya había tomado en cuenta las precausiones que me nombraste. En fin...



Me encuentro renombrando el archivo "sfcfiles.dll" y me aparece un cuadro de dialogo que recuerdo también me aparecio cuando el pc comenzo con los sintomas del bicho. Dicho cuadro dice lo siguiente:



Los archivos necesarios para que windows se ejecute correctamente se han reemplazado por versiones desconocidas. Windows debe restaurar las versiones originales de estos archivos para mantener la estabilidad del sistema.

Inserte su CD de windos XP Professional service pack 2 ahora.



Puesto que no poseo tal CD, la ves anterior simplemente le di a la opcion cancelar, ahora hare lo mismo, no se si repercutira en algo.

Luego me aparece otro dialogo que dice:

Eligió no restaurar las versiones originales de los archivos y esto puede afectar a la estabilidad de Windows. ¿Está seguro de que desea guardar estas versiones de archivos desconocidas?



Bueno, continuare con lo que hice la ves anterios y le dare click a "Si".



Hice todo lo anterior y tampoco pude eliminar ninguna de las carpetas que anteriormente te mencione.

Ritero nunca he tenido ningun dispositivo de xerox.



Saludos.

[Nelson Ayala]

Hola chriss:lee esto

https://foros.zonavirus.com/viewtopic.php?f=1&t=119

Por cierto la carpeta de Xerox/nwwia es un archivo que viene por defecto en Windows(es una historia larga), pero te aseguro que no te causará molestias mas que ocuparte "0" bytes en tu ordenador, y no te traerá problemas de virus, toryanos, spywares y esa cosas, así que te recomiendo que dejes las cosas como están, y si no quieres mi consejo, haz esto:

puedes intentar borrar archivos que no se dejan a [b]modo prueba de errores[/b], con [b]KillBox[/b] o con [b]Fileassassin[/b]

Saludos.

[msc hotline sat]

Si te falta el CD de instalacion ...



haz caso a lo que te decimos " Pero total no molestan y no ocupan espacio, sugiero dejarlas estar "





saludos



ms, 26-08-2007

[Chriss]

Sr. Ayala: Disculpe, no quise parecer descortés, creo que me traspapele al no tener claras las normas, gracias por el link.



Use el killbock en modo seguro como me dijiste y exelente!!

Pude eliminar todas esas carpetas molestas, asi que muchas gracias.



Bueno, solo esperare los resultados del analisis del Bicho, para poder proceder con algo mas...



Saludos.

[msc hotline sat]

Pues revisando las carpetas recibidas para adelantarle el analisis, encontramos su fichero al que le hemos dado prioridad.



AParentemente podría ser una variante de Bifrose, procedemos a monitorizarlo e informarmoe del resultado



saludos



ms, 28-08-2007