informe exploracion virus (SOLUCIONADO)

[doblas57]

hola amigos;

tengo el ordenador un poco lento y me he bajado vuestra ultima version de elistara y la he pasado en modo seguro y me ha detectado 2 virus. mi antivirus es el nod32.

os pongo el informe del infosat, para que me digais si hay esta todo bien o si que hacer algo mas.





Sun Nov 11 12:01:42 2007

EliStartPage v14.99 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v14.99

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SVCHOST.EXE --> Eliminado

C:\ARCHIVOS DE PROGRAMA\SHOPPINGREPORT\BIN\2.0.22\SHOPPINGREPORT.DLL --> Eliminado ShopprReports

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Eliminada Class, "{100EB1FD-D03E-47FD-81F3-EE91287F9465}" -> C:\Archivos de programa\ShoppingReport\Bin\2.0.22\ShoppingReport.dll

Eliminada Class, "{20EA9658-6BC3-4599-A87D-6371FE9295FC}" -> C:\Archivos de programa\ShoppingReport\Bin\2.0.22\ShoppingReport.dll

Eliminada Class, "{A16AD1E9-F69A-45AF-9462-B1C286708842}" -> C:\Archivos de programa\ShoppingReport\Bin\2.0.22\ShoppingReport.dll

Eliminada Class, "{A7CDDCDC-BEEB-4685-A062-978F5E07CEEE}" -> C:\Archivos de programa\ShoppingReport\Bin\2.0.22\ShoppingReport.dll

Eliminada Class, "{C9CCBB35-D123-4A31-AFFC-9B2933132116}" -> C:\Archivos de programa\ShoppingReport\Bin\2.0.22\ShoppingReport.dll

Eliminado Servicio, "svchost"

Eliminada Carpeta "%Application Data%\ShoppingReport"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

ShellExecute=Info.exe protect.ed 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Sun Nov 11 12:02:22 2007

EliStartPage v14.99 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMSEARCHPLUGINSIMILARIMAGES.DLL.VIR --> Eliminado, WinAntiVirus Pro 2006

C:\Archivos de programa\TVUPlayer\LIBCHFILE.DLL --> Eliminado, WinAntiVirus Pro 2006



Nº Total de Directorios: 9052

Nº Total de Ficheros: 150266

Nº de Ficheros Analizados: 24156

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2





gracias y un saludo



doblas57

[lucl]

pues envianos este archivo que te pide elistara





Por favor, envienos una muestra del fichero

C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v14.99





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos

[msc hotline sat]

Pero por si ya lo conociera el ELITRIIP, pruebalo:

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

En el infosat que postees veremos si ya lo conoce y obraremos en consecuencia

saludos
ms, 11-11-2007

[doblas57]

hola;

he estado intentando enviaros el archivo de la carpeta muestras y me dice que el archivo contiene virus y no lo adjunta al correo; lo he intentado de las dos formas, desactivando el nod 32 y en modo de fallos poniendolo en un archivo .rar y con la contraseña VIRUS??, no se lo que he hecho mal.

Por otro lado me descarge el elitriip y lo he pasado y aqui os pongo el informe del infosat;





Mon Nov 12 21:32:37 2007

EliTriIP v4.07 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Mon Nov 12 21:32:39 2007

EliTriIP v4.07 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 9025

Nº Total de Ficheros: 150734

Nº de Ficheros Analizados: 19558

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



gracias y un saludo



doblas57

[msc hotline sat]

Claro que contiene virus, por esto te lo pedimos, pero empaquetandolo con password se cifra su contenido de manera que no puede ser detectado por los antivirus.



Parece que lo haces bien, pero algo no acaba de ir como debe, pues hace 15 años que cada dia enviamos ficheros infectados asi a McAfee sin problemas.



Arranca en modo seguro, empaqueta dicho fichero con Passord VIRUS y sin apagar mira de desempequetarlo a ver si te pide que entres el password, sino es que no tiene password, como parece que debe ser.



Si realmente pide password, arranca en modo normal y nos envias dicho fichero empaquetado con pasword, que no deberá ser detectado-



Nos comentas el resultado, gracias



saludos



ms, 13-11-2007

[doblas57]

hola a todos;



por fin he conseguido encriptar el archivo de la carpeta muestras y acabo de enviarlo; evidentemente hacia un paso mal.

gracias y un saludo,





doblas57

[lucl]

Muy bien pues mañana cuando lo analicen te diran algo, estate atento al post, saludos

[msc hotline sat]

Recibido el SVCHOST enviado.



Es malware segun se ve en un primer analisis con VirusTotal:


[quote="VirusTotal"]File SVCHOST.EXE.Muestra_EliStartPage_ received on 11.15.2007 11:13:04 (CET)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED





Result: 21/32 (65.63%)





Antivirus Version Last Update Result

AhnLab-V3 2007.11.15.1 2007.11.15 -

AntiVir 7.6.0.34 2007.11.15 TR/Agent.FYT

Authentium 4.93.8 2007.11.14 W32/Backdoor.BTOY

Avast 4.7.1074.0 2007.11.14 Win32:Delf-FUZ

AVG 7.5.0.503 2007.11.14 SHeur.BJQ

BitDefender 7.2 2007.11.15 Trojan.Agent.FYT

CAT-QuickHeal 9.00 2007.11.14 Backdoor.Delf.afu

ClamAV 0.91.2 2007.11.15 -

DrWeb 4.44.0.09170 2007.11.15 Trojan.Proxy.1994

eSafe 7.0.15.0 2007.11.14 Win32.Delf.afu

eTrust-Vet 31.2.5297 2007.11.15 -

Ewido 4.0 2007.11.14 -

FileAdvisor 1 2007.11.15 -

Fortinet 3.11.0.0 2007.10.19 W32/Delf.AFU!tr.bdr

F-Prot 4.4.2.54 2007.11.14 W32/Backdoor.BTOY

F-Secure 6.70.13030.0 2007.11.15 Backdoor.Win32.Delf.afu

Ikarus T3.1.1.12 2007.11.15 Backdoor.Win32.Delf.AFU

Kaspersky 7.0.0.125 2007.11.15 Backdoor.Win32.Delf.afu

McAfee 5163 2007.11.14 -

Microsoft 1.3007 2007.11.12 Backdoor:Win32/Delf.TE

NOD32v2 2659 2007.11.15 -

Norman 5.80.02 2007.11.14 -

Panda 9.0.0.4 2007.11.15 Trj/Agent.FYT

Prevx1 V2 2007.11.15 -

Rising 20.18.30.00 2007.11.15 Trojan.Win32.Agent.fyt

Sophos 4.23.0 2007.11.15 -

Sunbelt 2.2.907.0 2007.11.15 -

Symantec 10 2007.11.15 Trojan Horse

TheHacker 6.2.9.129 2007.11.15 Backdoor/Delf.afu

VBA32 3.12.2.5 2007.11.15 Trojan.Proxy.1994

VirusBuster 4.3.26:9 2007.11.14 Backdoor.Delf.ZIW

Webwasher-Gateway 6.0.1 2007.11.15 Trojan.Agent.FYT

Additional information

File size: 249856 bytes

MD5: c4fae913e1f8d0d44d175a6fbe55171c

SHA1: 0e57095aabd4a2ecc24d9a5f776c769efa93f97a

packers: UPX

packers: UPX

packers: UPX

packers: PE_Patch.UPX, UPX [/quote]

Entra en proceso de minitorizacion y se informará cuando hayamos terminado el examen



saludos



ms, 15-11-2007

[doblas57]

hola;



he pasado el elitrip y os mando el informe;



Thu Nov 15 21:05:16 2007

EliTriIP v4.10 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Thu Nov 15 21:05:19 2007

EliTriIP v4.10 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v14.99 --> Eliminado, BackDoor.Delf.AFU



Nº Total de Directorios: 8916

Nº Total de Ficheros: 142969

Nº de Ficheros Analizados: 19130

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



gracias y un saludo,

doblas57

[lucl]

Parece solucionado este tema entonces, confirmanoslo y cerramos el post, saludos

[msc hotline sat]

Pues sí, es lo que queriamos controlar que se eliminara, y ya solucionado, procedemos a cerrar el Tema



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 16-11-2007