IMG-0012.zip y otros!! (SOLUCIONADO)

[m_de_tincho]

Ultimamente este virus disfrasado se ha estado expandiendo incontrolablemente, a traves del msn messenger. LLega a uno tranferido por msn como archivo .zip de nombre "IMG-0012.zip" o con otros numeros, con un mje tipo, por ejemplo: "Esta foto de tu y yo la voy a poner en mi Space", "aqui te mando las fotos que te prometi", "Mira esta foto de nosotras, la pondre en mi space ya"; al aceptar y descomprimir el archivo, aparece uno ejecutable como protector de pantalla, y al ejecutarlo el virus se instala en el ordenador, expandiendose cada minuto; enviandose a si mismo por msn, y asi sucesivamente.



Podrian ayudarme? :?



Gracias! :D

[lucl]

pasa elistara y veremos si ya controla el troyano, de no ser asi debes enviarnos el archivo para su análisis, y estate atento al foro puesto que ya han sido varios usuarios afectados por este virus, y nos han enviado muestras varias, no obstante envianos tambien tu la tuya por si fuera una variante distinta, cuando pases elistara peganos el log que te dejara en C infosat.txt

viewtopic.php?f=2&t=45334

http://www.zonavirus.com/descargas/elistara.asp

saludos

[msc hotline sat]

Sí, hay muchas variantes de virus de MSN, y tal como muy bien indica lucl, las vamos controlando a medida que vamos recibiendo muestras, si bien muchos ya lo están con el ELISTARA, pero otros con SDBOT que los controlamos con el ELITRIIP...



En cualquier caso, enviadnoslo y si no está controlado, pasaremos a hacerlo.



saludos



ms, 12-09-2007

[msc hotline sat]

Analizado el fichero IMG_0012.com resulta ser una variante de SDBOT, que pasamos a controlar con la version de hoy del ELITRIIP 3.88

ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp

A partir de las 19 h GMT de hoy estará disponible en esta web para pruebas de evaluacion en el foro de zonavirus
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Vemos que es la razon de la carga del LSASS.EXE en la carpeta C:\windows\system\, con lo que con dicha version del ELITRIIP tiene que solucionar todo este berenjenal !

SALUDOS

MS, 13-09-2007

[msc hotline sat]

En Tema paralelo, que se ha cerrado en consecuencia, el autor de este escribió:

m_de_tincho
Novato

Registrado: 20 Nov 2006
Mensajes: 8

Publicado: Vie Sep 14, 2007 7:03 am Título del mensaje: InfoSat.txt (Para revisar) (CERRADO)

--------------------------------------------------------------------------------

Aqui dejo la info luego de pasar el ELISTARA como me lo pidieron!



Thu Sep 13 01:27:47 2007
EliStartPage v14.62 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
D:\WINDOWS\SYSTEM32\OSSMTP.DLL --> Eliminado Motor.OSSMTP(smtp)
D:\WINDOWS\DIALEREXE.INI --> Eliminado (Fichero Complementario).
Eliminada Class, "{0A1C811C-88FF-493B-98A9-83B4A649ACD9}" -> D:\WINDOWS\system32\ossmtp.dll
Eliminada Class, "{5F4D3335-3194-4167-85AE-E7325F2695EF}" -> NULL1
Eliminada Class, "{BB81FA79-DCD7-48A6-A710-A85BD5ED9640}" -> D:\WINDOWS\system32\ossmtp.dll
Eliminada Class, "{C2A3FF36-C3A5-4334-968C-1DEA85AAA772}" -> D:\WINDOWS\system32\ossmtp.dll
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Thu Sep 13 01:33:01 2007
EliStartPage v14.62 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Screen Saver\SCREEN3DMATRIXCLOCK.EXE --> Eliminado, Guiños(msn)

Thu Sep 13 01:36:42 2007
EliStartPage v14.62 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
D:\WINDOWS\system32\spool\drivers\w32x86\3\HPZ3A054.DLL --> Eliminado, MoviePass
D:\WINDOWS\system32\spool\drivers\w32x86\hpphotosmart_c3100_s4080\HPZ3A054.DLL --> Eliminado, MoviePass

[msc hotline sat]

Bien te fue el probar el ELISTARA porque tenias moviepass y otras hierbas, pero no hiciste lo que se indicaba de probar el ELITRIIP 13.88 !!!



Mira lo que te indicaba en mi post y pruebalo, que seguro que aun tienes el nuevo de las fotos !



saludos



ms, 14-09-2007

[m_de_tincho]

si, es que no encontraba este mje jeje, recien veo que me dijeron ke utilice el ELITRIIP, lo utilice! y aca esta la info, hasta borro el archivo de muestra que tenia en el escritorio.





Thu Sep 13 01:27:47 2007

EliStartPage v14.62 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

D:\WINDOWS\SYSTEM32\OSSMTP.DLL --> Eliminado Motor.OSSMTP(smtp)

D:\WINDOWS\DIALEREXE.INI --> Eliminado (Fichero Complementario).

Eliminada Class, "{0A1C811C-88FF-493B-98A9-83B4A649ACD9}" -> D:\WINDOWS\system32\ossmtp.dll

Eliminada Class, "{5F4D3335-3194-4167-85AE-E7325F2695EF}" -> NULL1

Eliminada Class, "{BB81FA79-DCD7-48A6-A710-A85BD5ED9640}" -> D:\WINDOWS\system32\ossmtp.dll

Eliminada Class, "{C2A3FF36-C3A5-4334-968C-1DEA85AAA772}" -> D:\WINDOWS\system32\ossmtp.dll

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Sep 13 01:33:01 2007

EliStartPage v14.62 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Screen Saver\SCREEN3DMATRIXCLOCK.EXE --> Eliminado, Guiños(msn)



Thu Sep 13 01:36:42 2007

EliStartPage v14.62 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\WINDOWS\system32\spool\drivers\w32x86\3\HPZ3A054.DLL --> Eliminado, MoviePass

D:\WINDOWS\system32\spool\drivers\w32x86\hpphotosmart_c3100_s4080\HPZ3A054.DLL --> Eliminado, MoviePass



Thu Sep 13 02:01:49 2007

EliStartPage v14.62 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Exploración Detenida por el Usuario.



Fri Sep 14 02:29:44 2007

EliTriIP v3.88 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.



Fri Sep 14 02:30:31 2007

EliTriIP v3.88 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Sep 14 02:34:22 2007

EliTriIP v3.88 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\Archivos de programa\AUTOCAD2007\CRACK\AutoCAD 2007 crack.exe --> Eliminado, Bifrose (dropper)

D:\Archivos de programa\HP\Digital Imaging\{BDBE2F3E-42DB-4d4a-8CB1-19BA765DBC6C}\autorun.inf --> Eliminado, BackDoor.CMQ (inf)

D:\Archivos de programa\HP\Temp\{BDBE2F3E-42DB-4d4a-8CB1-19BA765DBC6C}\autorun.inf --> Eliminado, BackDoor.CMQ (inf)

D:\Archivos de programa\Mr.Photo\AUTORUN.INF --> Eliminado, BackDoor.CMQ (inf)

D:\Documents and Settings\Martin 2\Escritorio\IMG-0012.zip --> Eliminado, SdBot(msn)

D:\WINDOWS\SiSport.sys --> Eliminado, RootKit

[msc hotline sat]

Sí, y otras hierbas ... (malas hierbas, claro :wink: )



Pues con ello damos por solucionado el pronlema y procedemos a cerrar el Tema



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 15-09-2007