Virus para telefono movil, atraves de bluetooth(SOLUCIONADO)

[yerbawena]

[b]Hola a todos los foreros y administradores!!!

Pues bien el otro dia mi novio recibió un archivo a traves de bluetooth cuando estabamos en una cafeteria, se llamaba ng5kxmlh.sis, ni él ni yo lo podiamos abrir con nuestros moviles, así que tuve la genial idea ayer de intentar verlo a traves del ordenador resultando ser un virus. Si es que lo dice el refran que "la curiosidad mató al gato", y yo convencida de que no era un virus porque no habia encontrado nada sobre ese archivo en la web..





Tengo el NOD32, y al intentar abrirlo me salió el siguiente mensaje:

C:\WINDOWS\Explorer.EXE. 12/11/2007 21:09:29 AMON Archivo G:\My media\Others\ng5kxmlh.sis SymbOS/CommWarrior.A (Gusano de Internet)DESKTOP\Administrador Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación C:\WINDOWS\Explorer.EXE.



Despues el antivirus me confirmó que lo habia eliminado:

12/11/2007 21:09:34 G:\My media\Others\ng5kxmlh.sis SymbOS/CommWarrior.A (Gusano de Internet) Eliminado DESKTOP\Administrador Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación



Sin embargo esta mañana parecia seguir teniendo restos de dicho virus :twisted: :

13/11/2007 10:17:40 C:\Windows\Temp\tmp00002268\tmp0000e676 varias infecciones Puesto en cuarentena - Eliminado

DESKTOP\Administrador Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.





- Quiero saber si ya se ha eliminado definitivamente

- Y si mi telefono móvil puede estar infectado también.. qué puedo hacer?



Un saludo!! y no acepteis nada a traves de bluetooth sin saber cual es la fuente.. :? jeje









[/b]

[msc hotline sat]

Está claro que no deben aceptarse los regalitos que llegan !



Al parecer el antivirus detectó el virus al acceder a él a través del Explorer, pero no llegó a infectar nada del ordenador, quedando restos de dicho intento en archivos temporales .



Se supone que ahora se han eliminado y sino, elimine a mano todos los archivos temporales.



Sobre el virus en el telefono, hay antivirus especiales para ellos, como el VirusScan Mobile entre otros, que podrá utilizar para dicha eliminacion.



McAfee, Trend, F-Secure, Bullguard, AVG, Symantec, Kaspersky



MCAFEE

http://www.rzw.com.ar/seguridad-informatica-2098.html



TREND

http://www2.noticiasdot.com/publicaciones/2004/1204/1412/noticias141204/noticias141204-12.htm



F-SECURE

http://www.aecomo.org/content.asp?contentid=3836&contenttypeid=2&catid=150&cattypeid=2



BULLGUARD

http://www.aecomo.org/content.asp?contentid=4953&contenttypeid=2&catid=150&cattypeid=2



AVG

http://www.idg.es/pcworld/Solucion_antivirus_para_telefonos_moviles/doc58406.htm



SYMANTEC

http://www.noticiasdot.com/publicaciones/2003/1003/1310/noticias131003/noticias131003-11.htm



KASPERSKY

http://www.rzw.com.ar/seguridad-informatica-4809.html







No hemos tenido incidencias al respecto, pues con una minima precaucion de no aceptar dichos regalos, se evitan dichas infecciones, pero si se tiene curiosidad ...



Esperamos que con alguno de los antivirus indicados pueda eliminarlo, tenganos informados de sus progresos al respecto, gracias







saludos



ms, 13-11-2007

[yerbawena]

Pues muchas gracias! me descargo uno de los antivirus para móvil.. a ver si asi no me vuelve a pasar lo mismo :P

Otra cosa,uno de los archivos temporales no lo he podido eliminar, lo envio como muestra?



Saludines

[lucl]

Si, envianoslo siguiendo las indicaciones del link, saludos





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[yerbawena]

holaaa! Aqui estamos de nuevo! Al comprimir el archivo e intentar adjuntarlo me sale este mensaje en mi correo yahoo:



¡Aviso! No se puede adjuntar (el nombre del archivo).rar porque contiene un virus irreparable.

Pruebo a adjuntarlo sin comprimir?



Un saludo

[msc hotline sat]

No, no, debes empaquetarlo con password, desde opciones avanzadas, y como nombre del password utiliza VIRUS, para que asi podamos abrirloluego nosotros (es el que utilizamos desde hace 15 años con McAfee, enviandole virus cada dia!



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Posiblemente lo empaquetabas sin password, y al no ir cifrado, lo detectaban facilmente



Trataremos de controlarlo con nuestras utilidades y asi facilitar su eliminacion en el PC:



Informaremos al respecto.



saludos



ms, 13-11-2007

[yerbawena]

listo!!! ya lo he enviado! esperando respuestas.. :)

[msc hotline sat]

Pues lo que hemos recibido parece un temporal de word ???



Oueden verse las caracteristicas de este virus:



http://www.vsantivirus.com/symbos-commwarrior-a.htm



Si no puedes borrar este temporal, mira de eliminar esta carpeta y su contenido:



C:\system\apps\CommWarrior\



y si a pesar de esto se resiste, posteanos el log creado por el HJT:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



saludos



ms, 13-11-2007

[yerbawena]

Como no estoy segura de haberlo eliminado os posteo el resultado del Hijackthis.. :roll: Gracias por todo y un saludo!



Logfile of HijackThis v1.99.1

Scan saved at 9:55:49, on 14/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Windows Defender\MSASCui.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

C:\Archivos de programa\Spyware Doctor\SDTrayApp.exe

C:\Archivos de programa\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe

C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Spyware Doctor\svcntaux.exe

C:\Archivos de programa\Spyware Doctor\swdsvc.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\Windows\Temp\Rar$EX00.781\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Archivos de programa\Siber Systems\AI RoboForm\roboform.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Archivos de programa\Siber Systems\AI RoboForm\roboform.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [SDTray] "C:\Archivos de programa\Spyware Doctor\SDTrayApp.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [RoboForm] "C:\Archivos de programa\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Guardar Formularios - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O8 - Extra context menu item: Personalizar Menú - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html

O8 - Extra context menu item: Rellenar Formularios - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O8 - Extra context menu item: RF Barra de Herramientas - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by131fd.bay131.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.ca.com/es/securityadvisor/pestscan/pestscan.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1181162391187

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/es/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~3\GOEC62~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: GoogleDesktopManager - Google - C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\svcntaux.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\swdsvc.exe

[msc hotline sat]

El log está limpio.



Entendemos pues que el Tema está solucionado y procedemnos a cerrarlo



Si nos necesitas de nuevo ya sabes donde estamos



saludos



ms, 14-11-2007