Virus Pegan P (FOTO_CELULAR.SRC) (SOLUCIONADO)

Cerrado
Nano_Ramone
Mensajes: 9
Registrado: 22 Ago 2007, 17:18

Virus Pegan P (FOTO_CELULAR.SRC) (SOLUCIONADO)

Mensaje por Nano_Ramone » 22 Ago 2007, 17:24

Saludos a todos.



En principio, quiero aclarar que leí todo lo que encontre en el foro sobre este virus brasilero de porquería. Así y todo, no lo pude sacar, quizás por algún paso que no hice o lo hice mal.



Paso a contar qué fue lo que hice:



Ejecute el Elistara v14.50 y me anuncio "Eliminado el troyano Malware.Celular"



Luego, lo ejecute y puse eliminar automáticamente los archivos infectados. En el archivo Infosat.txt, me aparece lo siguiente:

[i]

Wed Aug 22 10:45:32 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\MSNWORM.EXE.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MSNWORM.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado MalWare.Celular

C:\WINDOWS\SYSTEM32\SSVSCHOST.SYS --> Eliminado

C:\WINDOWS\SYSTEM32\Dllcache\KLOG.DAT --> Eliminado (Fichero Complementario).

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Aug 22 10:47:39 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.



Wed Aug 22 11:37:30 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado MalWare.Celular

C:\WINDOWS\SYSTEM32\SSVSCHOST.SYS --> Eliminado

C:\WINDOWS\SYSTEM32\Dllcache\KLOG.DAT --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Aug 22 11:40:41 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Aug 22 11:40:51 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Aug 22 11:41:06 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\KCL310.DLL --> Eliminado, Puper-Is

C:\Archivos de programa\Archivos comunes\Real\Update_OB\UPGRDHLP.EXE --> Eliminado, CyDoor

C:\System Volume Information\_restore{C5EC4643-6C18-4843-A74F-C9EF7F98D568}\RP222\A0044315.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{C5EC4643-6C18-4843-A74F-C9EF7F98D568}\RP223\A0044371.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{C5EC4643-6C18-4843-A74F-C9EF7F98D568}\RP223\A0044438.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{C5EC4643-6C18-4843-A74F-C9EF7F98D568}\RP224\A0046438.EXE --> Eliminado, MalWare.Celular[/i]




Luego, [b]reinicié la PC[/b] y renombre el archivo [b]ntoskrnl.exe[/b] por [b]ntoskrnl.vil[/b] (ubicado en C:\windows\system32\) y lo eliminé de DLLCache, dentro de la carpeta System32.



Windows volvió a generarme ambos archivos, pero cuando inicio el MSN Messenger me sigue enviando el archivo Foto_celular.zip como si no hubiese hecho absolutamente nada.



Cabe aclarar que no tengo posibilidad de restaurar el sistema porque es una PC del trabajo y no tengo esos discos a mi disposición.



Envié los archivos de MUESTRA por mail.



Desde ya, muchas gracias por la respuesta.



Saludos!

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 22 Ago 2007, 17:55

Se ve que estaba infectado por dos variantes de virus de esta familia, y se le pidió muestra de los dos, que supongo que envió por mail



Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50



Por favor, envienos una muestra del fichero

C:\Muestras\MSNWORM.EXE.Muestra



(y sino, hágalo como se indica en:

->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334 )



pero ambos gusanos han sido movidos a cuarentena (a carpeta C:\muestras ) y eliminados de c:\ y de C:\windows\system32\ , segun se indica en:



C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado



C:\WINDOWS\SYSTEM32\MSNWORM.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado



y además, en el analisis por exploracion, se detectaron y eliminaron otros virus:



Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\KCL310.DLL --> Eliminado, Puper-Is

C:\Archivos de programa\Archivos comunes\Real\Update_OB\UPGRDHLP.EXE --> Eliminado, CyDoor



Ahora puede comprobar, volviendo a probar el ELISTARA, que ya no detecte ninguno de ellos y solo quedará por eliminar los ficheros de la carpeta C:\muestras, pero estos debe comprobarse que los elimine la correspondinete version del ELISTSRA, por cadenas de deteccion que se implementen al respecto, y asi se sabrá que se eliminarán otros ficheros relacionados si es que los hay.



La proxima semana volvemos de vacaciones y se analizarán las muestras y controlarán dichas nuevas variantes, y con ello espero que se acabará la historia, si bien se le pide que pruebe una vez mas el ELISTARA y lance la exploracion, a ver si encuentra algo mas que se hubiera regenerado



La verdad es que es el primer caso que de detectan dos variantes al mismo tiempo, es usted de los que tropieza dos veces en la misma piedra ... !!! :wink:



>Tras lo indicado, posteenos nuevo log del infosat.txt, gracias



saludos



ms, 22-08-2007

Nano_Ramone
Mensajes: 9
Registrado: 22 Ago 2007, 17:18

Mensaje por Nano_Ramone » 22 Ago 2007, 18:33

Ok, borre los archivos de "C:\muestras\" y corrí el Elistara nuevamente, no me arrojo archivos infectados ni eliminados....

[i]



Wed Aug 22 10:45:32 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\MSNWORM.EXE.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MSNWORM.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado MalWare.Celular

C:\WINDOWS\SYSTEM32\SSVSCHOST.SYS --> Eliminado

C:\WINDOWS\SYSTEM32\Dllcache\KLOG.DAT --> Eliminado (Fichero Complementario).

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Aug 22 10:47:39 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.



Wed Aug 22 11:37:30 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado MalWare.Celular

C:\WINDOWS\SYSTEM32\SSVSCHOST.SYS --> Eliminado

C:\WINDOWS\SYSTEM32\Dllcache\KLOG.DAT --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Aug 22 11:40:41 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Aug 22 11:40:51 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Aug 22 11:41:06 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\KCL310.DLL --> Eliminado, Puper-Is

C:\Archivos de programa\Archivos comunes\Real\Update_OB\UPGRDHLP.EXE --> Eliminado, CyDoor

C:\System Volume Information\_restore{C5EC4643-6C18-4843-A74F-C9EF7F98D568}\RP222\A0044315.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{C5EC4643-6C18-4843-A74F-C9EF7F98D568}\RP223\A0044371.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{C5EC4643-6C18-4843-A74F-C9EF7F98D568}\RP223\A0044438.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{C5EC4643-6C18-4843-A74F-C9EF7F98D568}\RP224\A0046438.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{C5EC4643-6C18-4843-A74F-C9EF7F98D568}\RP224\A0046484.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{C5EC4643-6C18-4843-A74F-C9EF7F98D568}\RP224\A0046485.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{C5EC4643-6C18-4843-A74F-C9EF7F98D568}\RP224\A0047484.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{C5EC4643-6C18-4843-A74F-C9EF7F98D568}\RP224\A0048484.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{C5EC4643-6C18-4843-A74F-C9EF7F98D568}\RP224\A0048548.DLL --> Eliminado, Puper-Is

C:\System Volume Information\_restore{C5EC4643-6C18-4843-A74F-C9EF7F98D568}\RP224\A0048549.EXE --> Eliminado, CyDoor



Wed Aug 22 12:13:20 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado MalWare.Celular

C:\WINDOWS\SYSTEM32\SSVSCHOST.SYS --> Eliminado

C:\WINDOWS\SYSTEM32\Dllcache\KLOG.DAT --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Aug 22 12:20:49 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Aug 22 12:21:24 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Aug 22 13:14:54 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Aug 22 13:15:07 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

[/i]




El problema persiste... !!!!!!!!!!

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 22 Ago 2007, 18:39

No, por Dios ! no deciamos que eliminara los ficheros de la carpeta c:\muestras, sino que estos debia eliminarlos el ELISTARA correspondiente a la version que lo controlara, y asi saber que ademas de ellos ya se detectaran otros ficheros con distinto nombre, dentro del disco duro, que sean copias del gusano y que sean los que ahora esten haciendo la Pascua !



Vuelva a copiarlos en dicha carpeta si tiene copia de seguridad de los dos ficheros, que supongo que sí, si hizo el envio empaquetando los ficheros con password y demas, pero copie los desempaquetados y sin password, para asi saber cuando se controlan y con ello ver si ya se detectan otros congeneres y se soluciona el problema.



saludos



ms, 22-08-2007



NOTA: deciamos...



solo quedará por eliminar los ficheros de la carpeta C:\muestras, [b]pero estos debe comprobarse que los elimine la correspondinete version del ELISTSRA, por cadenas de deteccion que se implementen al respecto,[/b] y asi se sabrá que se eliminarán otros ficheros relacionados si es que los hay

Nano_Ramone
Mensajes: 9
Registrado: 22 Ago 2007, 17:18

Mensaje por Nano_Ramone » 22 Ago 2007, 19:53

Ok, los puse de nuevo en su lugar y volví a correr el explorador. Esto es lo que me dio el Infosat:





[i] Wed Aug 22 10:45:32 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\MSNWORM.EXE.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MSNWORM.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado MalWare.Celular

C:\WINDOWS\SYSTEM32\SSVSCHOST.SYS --> Eliminado

C:\WINDOWS\SYSTEM32\Dllcache\KLOG.DAT --> Eliminado (Fichero Complementario).

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Aug 22 10:47:39 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.



Wed Aug 22 11:37:30 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado MalWare.Celular

C:\WINDOWS\SYSTEM32\SSVSCHOST.SYS --> Eliminado

C:\WINDOWS\SYSTEM32\Dllcache\KLOG.DAT --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Aug 22 11:40:41 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Aug 22 11:40:51 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Aug 22 11:41:06 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\KCL310.DLL --> Eliminado, Puper-Is

C:\Archivos de programa\Archivos comunes\Real\Update_OB\UPGRDHLP.EXE --> Eliminado, CyDoor

C:\System Volume Information\_restore{C5EC4643-6C18-4843-A74F-C9EF7F98D568}\RP222\A0044315.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{C5EC4643-6C18-4843-A74F-C9EF7F98D568}\RP223\A0044371.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{C5EC4643-6C18-4843-A74F-C9EF7F98D568}\RP223\A0044438.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{C5EC4643-6C18-4843-A74F-C9EF7F98D568}\RP224\A0046438.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{C5EC4643-6C18-4843-A74F-C9EF7F98D568}\RP224\A0046484.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{C5EC4643-6C18-4843-A74F-C9EF7F98D568}\RP224\A0046485.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{C5EC4643-6C18-4843-A74F-C9EF7F98D568}\RP224\A0047484.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{C5EC4643-6C18-4843-A74F-C9EF7F98D568}\RP224\A0048484.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{C5EC4643-6C18-4843-A74F-C9EF7F98D568}\RP224\A0048548.DLL --> Eliminado, Puper-Is

C:\System Volume Information\_restore{C5EC4643-6C18-4843-A74F-C9EF7F98D568}\RP224\A0048549.EXE --> Eliminado, CyDoor



Wed Aug 22 12:13:20 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado MalWare.Celular

C:\WINDOWS\SYSTEM32\SSVSCHOST.SYS --> Eliminado

C:\WINDOWS\SYSTEM32\Dllcache\KLOG.DAT --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Aug 22 12:20:49 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Aug 22 12:21:24 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Aug 22 13:14:54 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Aug 22 13:15:07 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Wed Aug 22 13:34:38 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Aug 22 13:36:21 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Wed Aug 22 14:30:23 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Wed Aug 22 14:30:26 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

[/i]

Nano_Ramone
Mensajes: 9
Registrado: 22 Ago 2007, 17:18

Mensaje por Nano_Ramone » 22 Ago 2007, 20:28

Ya probe de todo, estoy desesperado.. creo que nunca lo voy a resolver!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! :oops: :oops: :oops: :oops: :oops: :oops: :oops: :oops: :oops: :oops: :oops: :oops: :oops: :oops: :twisted: :twisted: :twisted: :twisted: :twisted: :twisted: :twisted: :roll: :roll: :roll: :roll: :roll:

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 22 Ago 2007, 20:36

Si hombre si, ya levamos controlados como 300.000 variantes y una mas no es nada, lo unico es que estamos de vacaciones y hasta el lunes no volvemos a SATINFO, donde se analizan los ficheros y desarrollan las nuevas versiones de las utilidades



De todas formas, pruebe el ewido o AVG 7.5 que igual se lo detecta ???





http://www.ewido.net/en/download/



y nos comenta el resultado, gracias



saludos



m,s, 22-08-2007

Nano_Ramone
Mensajes: 9
Registrado: 22 Ago 2007, 17:18

Mensaje por Nano_Ramone » 22 Ago 2007, 21:58

Corrí el AVG, me detecto 40 objetos infectados, los eliminé pero...



CHARAN



EL VIRUS SIGUE AHÍ.



Estoy vencido, este pegan p brasilero de porquería me gano...

Nano_Ramone
Mensajes: 9
Registrado: 22 Ago 2007, 17:18

Mensaje por Nano_Ramone » 23 Ago 2007, 15:52

Corrí nuevamente el Elistara en Modo Seguro, me detecto un archivo infectado, reinicie en Modo Seguro, modifique los archivos pero tampoco funciona..............................

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 23 Ago 2007, 18:24

Pues si que resiste el maldito...



Creo que puede ser porque lo tienes doble, e igual uno protege al otro...



Pero arrancando en modo seguro y todo...



Tenias un Puper, (downloader), pero ya lo eliminaste. Bueno, vamos a ver si arancando en modo seguro y lanzando el HJT, salvas el log en dicho modo y luego nos lo posteas:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]




[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



saludos



ms, 23-08-2007

Nano_Ramone
Mensajes: 9
Registrado: 22 Ago 2007, 17:18

Mensaje por Nano_Ramone » 23 Ago 2007, 19:21

Corrido. Creo que esto es lo que me pedía:



[i]Logfile of HijackThis v1.99.1

Scan saved at 01:37:02 p.m., on 23/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\mmontamat\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://home.iplan.com.ar/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [TLogonPath] "C:\Archivos de programa\Timbuktu Pro\\minitb2.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [Prism Deploy Client] "C:\Archivos de programa\New Boundary\Client\PTClient.exe" /Subscriber

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\VPTray.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [{C9E9A340-D1F1-11D0-821E-BIFROST999999}] C:\WINDOWS\system32\dllcache\resident.exe

O4 - HKCU\..\Run: [{F9E9A340-D1F1-11D0-821E-POISONIVY2007}] C:\WINDOWS\system32\dllcache\poisonivy.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.911.3380\GoogleToolbarNotifier.exe

O4 - Global Startup: Im-IPLAN.lnk = C:\Archivos de programa\Im-IPLAN\Pandion.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O11 - Options group: [INTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=http://home.iplan.com.ar

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1142528049187

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1142532068953

O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield Setup Player) - http://10.10.1.7:8080/activedownload/ermprodiplan/isetup.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O20 - Winlogon Notify: Timbuktu Pro - C:\Archivos de programa\Timbuktu Pro\Hook32.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Channel Deployer - New Boundary Technologies, Inc. - C:\Archivos de programa\Archivos comunes\New Boundary\PrismXL\ChannelDeploy.sys

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: NetOp Helper ver. 9.00 (2006161) (NetOp Host for NT Service) - Danware Data A/S - C:\Archivos de programa\NetOp Remote Control\HOST\NHOSTSVC.EXE

O23 - Service: OracleOraHome81ClientCache - Unknown owner - C:\oracle\ora81\BIN\ONRSD.EXE

O23 - Service: PrismXL - New Boundary Technologies, Inc. - C:\Archivos de programa\Archivos comunes\New Boundary\PrismXL\PRISMXL.SYS

O23 - Service: RsaService - Emco Software Ltd. - C:\WINDOWS\system32\RsaServer.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

O23 - Service: Tb2 Launch (Tb2Launch) - Netopia, Inc. - C:\Archivos de programa\Timbuktu Pro\tb2launch.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe" -service (file missing)



[/i]

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 23 Ago 2007, 19:36

Pues sí que había mas cosas...



renombra la extension de estos ficheros a .VIR:



C:\WINDOWS\system32\dllcache\resident.exe



C:\WINDOWS\system32\dllcache\poisonivy.exe



y envianoslos para analizar:





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334







y tras reiniciar, elimina estas claves



O4 - HKCU\..\Run: [{C9E9A340-D1F1-11D0-821E-BIFROST999999}] C:\WINDOWS\system32\dllcache\resident.exe



O4 - HKCU\..\Run: [{F9E9A340-D1F1-11D0-821E-POISONIVY2007}] C:\WINDOWS\system32\dllcache\poisonivy.exe



O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1



O9 - Extra button: (no name) - AutorunsDisabled - (no file)



y tras ello reinicias y nos cuentas el resultado, gracias



saludos



ms, 23-08-2007

Nano_Ramone
Mensajes: 9
Registrado: 22 Ago 2007, 17:18

Mensaje por Nano_Ramone » 23 Ago 2007, 20:24

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1



O9 - Extra button: (no name) - AutorunsDisabled - (no file)



No entiendo que son estas dos, ni como tengo que eliminarlas :s



:roll:

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 23 Ago 2007, 20:42

Pues como todas las claves, con el HJT en modo seguro, marcar la casila de cada una y pulsar en FIX CHECKED, pero eso ya lo decimos en:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y lo que son, pues la primera desactiva el que pueda editar el registro de sistema y la segunda el que se autoejecuten los CDROM al introducirlos, lo cual ha sido introducido por algun malware, supongo que el que estamos eliminando...



saludos



ms, 23-08-2007

Nano_Ramone
Mensajes: 9
Registrado: 22 Ago 2007, 17:18

Mensaje por Nano_Ramone » 23 Ago 2007, 20:52

SSSSSSSSSSSSSEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE

:lol: :lol: :lol: :lol: :lol: :lol: :lol: :lol: :lol: :lol: :lol: :lol: :lol: :P :P :P :P :P :P :P :shock: :shock: :shock: :lol: :lol: :lol: :lol: :lol: :D :D :D :D :) :)



NO LO PUEDO CREER, LO SAQUE!!!!!!!!!!!!!!!!!!!!



Renombre esos dos archivos, el resident.exe y el poisonivy.exe a .vil, reinicie la PC y ya no hizo falta hacer más!!!!!!!!



Estoy muy FELÍZ!



NO SÉ COMO AGRADECERTE LO QUE HICISTE POR MI, SOS UN GRANDE DE VERDAD!!!!!!!!



MUCHAS GRACIAS A TODOS LOS QUE HACEN ESTA WEB, DESDE AHORA ES MI PAGINA DE CABECERA!!!!

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 23 Ago 2007, 21:00

Pues lo celebramos y recuerde enviarnos dichos ficheros renombrados, para analizar, tal como le indicamos, gracias



y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos





saludos



ms, 23-08-2007

Cerrado

Volver a “Foro Virus - Cuentanos tu problema”