Rar por msn llamado "Image-001.JPEG_www.myspace.com (SO

[blueberto]

Hola a todos, tengo un problemilla que usando el buscador y utilizando las herramientas que aqui proporcionais no he conseguido solucionar.



Hace dos dias un contacto del msn me mando un rar con unas supuestas fotos y tonto de mi lo abri....al ejecutarlo desaparecio, pero acto seguido deje de recibir correo.....seguro que mas cosas, pero eso de golpe.



He instalado la ultima version del IE, he usado el update para estar al dia, he usado el elitrip y el elistara en modo seguro, me ha detectado un monton de cosas, pero esta de aqui abajo no la detecta y sigo sin recibir correo.....please help. :cry:



<interceptado>



Este archivo probablemente sea un spyboot, cuidadin eh. :wink:



Por cierto, el informe de los dos programas.



Fri Jan 04 18:02:31 2008

EliStartPage v15.37 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Fri Jan 04 18:23:35 2008

EliTriIP v4.26 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"



Fri Jan 04 18:23:44 2008

EliTriIP v4.26 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\HP\Digital Imaging\{3E386744-10FA-44b2-98C9-DF7A270DECB3}\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\Archivos de programa\HP\Temp\{3E386744-10FA-44b2-98C9-DF7A270DECB3}\autorun.inf --> Eliminado, BackDoor.CMQ(inf)



Nº Total de Directorios: 9792

Nº Total de Ficheros: 104491

Nº de Ficheros Analizados: 20370

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Fri Jan 04 18:44:12 2008

EliStartPage v15.37 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Jan 04 18:44:41 2008

EliStartPage v15.37 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\MessengerPlus! 3\MSGPLUS.EXE --> Eliminado, MessengerPlus

C:\Documents and Settings\blueberto\Escritorio\Tomtom\IBERIA_V.705.1480(ELRINCONDEDEY).EXE --> Eliminado, Spy.Banker.FJB(dropper)

C:\Documents and Settings\blueberto\Escritorio\Tomtom\mapas 675\IBERIA_675.1430(ELRINCONDEDEY).EXE --> Eliminado, Spy.Banker.FJB(dropper)



Nº Total de Directorios: 9748

Nº Total de Ficheros: 104123

Nº de Ficheros Analizados: 21370

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

[msc hotline sat]

Por un lado vemos que ha eliminado un Spy Banker, tipico de los regalitos del messenger:

EliStartPage v15.37 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\MessengerPlus! 3\MSGPLUS.EXE --> Eliminado, MessengerPlus
C:\Documents and Settings\blueberto\Escritorio\Tomtom\IBERIA_V.705.1480(ELRINCONDEDEY).EXE --> Eliminado, Spy.Banker.FJB(dropper)
C:\Documents and Settings\blueberto\Escritorio\Tomtom\mapas 675\IBERIA_675.1430(ELRINCONDEDEY).EXE --> Eliminado, Spy.Banker.FJB(dropper)

pero si ademas dice que persiste el problema, veamos:

File Image-001_1_.JPEG.zip received on 01.04.2008 21:28:08 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED


Antivirus Version Last Update Result
AhnLab-V3 2008.1.5.10 2008.01.04 -
AntiVir 7.6.0.46 2008.01.04 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2008.01.04 -
Avast 4.7.1098.0 2008.01.04 -
AVG 7.5.0.516 2008.01.04 SHeur.AJXI
BitDefender 7.2 2008.01.04 -
CAT-QuickHeal 9.00 2008.01.04 -
ClamAV 0.91.2 2008.01.04 -
DrWeb 4.44.0.09170 2008.01.04 Win32.Alisa.3720
eSafe 7.0.15.0 2008.01.03 Suspicious File
eTrust-Vet 31.3.5430 2008.01.04 -
Ewido 4.0 2008.01.04 -
FileAdvisor 1 2008.01.04 -
Fortinet 3.14.0.0 2008.01.04 -
F-Prot 4.4.2.54 2008.01.04 -
F-Secure 6.70.13030.0 2008.01.04 -
Ikarus T3.1.1.15 2008.01.04 -
Kaspersky 7.0.0.125 2008.01.04 -
McAfee 5200 2008.01.04 -
Microsoft 1.3109 2008.01.04 Worm:Win32/Slenfbot.BL
NOD32v2 2765 2008.01.04 -
Norman 5.80.02 2008.01.04 -
Panda 9.0.0.4 2008.01.04 W32/MSNPhoto.R.worm
Prevx1 V2 2008.01.04 -
Rising 20.25.42.00 2008.01.04 -
Sophos 4.24.0 2008.01.04 Mal/HckPk-A
Sunbelt 2.2.907.0 2008.01.04 -
Symantec 10 2008.01.04 -
TheHacker 6.2.9.180 2008.01.04 -
VBA32 3.12.2.5 2008.01.02 -
VirusBuster 4.3.26:9 2008.01.04 -
Webwasher-Gateway 6.6.2 2008.01.04 Trojan.Crypt.XPACK.Gen
Additional information
File size: 96414 bytes
MD5: 3ca6f3f0aba3d72a827c7b4083aeefcd
SHA1: a972660482c1114df55b3e49e56f2b900eba0279
PEiD: -
packers: EXECryptor
packers: Execryptor

y visto que ha posteado en el intervalo de mi analisis, sigo después.
ms.

[blueberto]

Muchas gracias por el interes, espero ansioso mas ideas. :cry:



El archivo que he colgado no lo ha detectado ningun programa de spyware ni los que he pasado de aqui.....es raro verdad??? porque estoy seguro que es un spyboot.



EDITO!!!!!!!!!!!!!!



Acabo de abrir el outlook y he recibido todo el correo atrasado!!!!!!!!Bieeeeen!!!



Pero sigue ese archivo ahi....me temo que vuelva a la carga

[lucl]

desinstala el mesenger plus3 pues es foco de muchos virus , y envianos el archivo que te enviaron por mesenger si aun lo tienes para que lo analicen saludos

[msc hotline sat]

Bueno pues si bien con el ELISTARA se ha conseguido restaurar claves modificadas que ya permiten recibir correo, vemos que hay un nuevo especimen no controlado por ninguno de los "grandes antivirus", ni McAfee, ni Norton, ni Kaspersky, ni NOD32, ni ... como se puede ver en el informe de Virus Total posteado en mi post anterior.

Bueno, pues como que el antispyware de AVG 7.5 si que parece controlarlo:

AVG 7.5.0.516 2008.01.04 SHeur.AJXI

Pruebe arrancar en modo seguro con funciones de red y lanzar dicho AVG 7.5 ONLINE, y nos informa del resultado:

https://www.avg.com/en-ww/internet-security

saludos

ms, 4-1-2008


NOTA: Nosotros, el lunes, cuando volvamos al trabajo en SATINFO, implementaremos su control y eliminacion en la proxima version del ELISTARA, pero veamos si lo solucionamos en plan de emrgencia con lo indicado. ms.

[blueberto]

El archivo lo postee arriba donde pone interceptado....hay que mandarlo o ya lo teneis.

[msc hotline sat]

Nos hemos cruzado los mensajes. Mira mi ultimo post. No es necesario que nos lo envies, ya lo tenemos.



saludos



ms, 4-1-2007

[blueberto]

Jolin, sois los mejores. Ahora mismo lo hago a ver si me lo cepillo al jodio....

Os agradezco la ayuda enormemente



Recibireis el mismo trato o mejor que yo he recibido aqui.
un saludo.

[msc hotline sat]

Normalmente no permitimos links de otras webs, pero en este caso, al ser sobre sistemas de móviles, que no es nuestra especialidad, mantengo el link y agradezco el ofrecimiento.



Si no nos dices lo contrario (que ya lo hayas eliminado con lo indicado) el lunes seguimos y lo eliminaremos con la utilidad que hagamos para ello, de lo cual informaremos



saludos



ms, 5-1-2008

[blueberto]

Hola de nuevo.



He intentado pasar ese antispyware online que me comentas en modo seguro con red activada, pero me ocurre una cosa muy rara. Cuando lleva mas o menos la mitad de la exploracion se cierra el explorador.....es mas, tenia una ventana abierta con este post y otra con el scan y se han cerrado las dos. Ya me ha pasado dos veces. :cry: Creo que mejor me espero a que lo implementeis al elistara....



Muchas gracias de nuevo



Un saludo.

[msc hotline sat]

Así se hará, pero lo de que se cierren las dos ventanas abiertas a la mitad de la explorción no parece ser causado por el virus, dado que estaba en modo seguro, y supongo que no estaba residente, pero ya veremos.



Mañana lo analizaremos e informaremos



saludos



ms, 6-1-2008

[blueberto]

Hola de nuevo.



Se ha implementado en el nuevo elistara mi "problema"???



Es que sigue ahi.....acechandome. :oops:



salu2

[msc hotline sat]

A partir del ELITRIIP 4.27 se controlaba:

ELITRIIP

---v4.27---( 7 de Enero del 2008) (Muestras de SdBot(msn) "WAUCLT.EXE y IMAGE-001_JPG.ZIP" y Anulada la Eliminación del "UASERVICE.EXE")

En esta ocasion no es el ELISTARA sino el ELITRIIP debido a que no es un troyano PWS sino un gusano tipo SDBOT

pruebelo y nos comenta el resultado, gracias:

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos
ms, 11-1-2008

[blueberto]

Bueno pues parece que al fin ha desaparecido el gusanito



Aqui mi informe.



Muchisimas gracias una vez mas, gran trabajo. :wink:



Fri Jan 11 10:43:56 2008

EliTriIP v4.28 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Jan 11 10:44:15 2008

EliTriIP v4.28 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\blueberto\Mis documentos\Mis archivos recibidos\Image-001.JPEG.zip --> Eliminado, SdBot(msn)

C:\Documents and Settings\blueberto\Mis documentos\Mis archivos recibidos\Image-001.JPEG\Image-001.JPEG_www.myspace.com --> Eliminado, SdBot(msn)



Nº Total de Directorios: 9928

Nº Total de Ficheros: 114965

Nº de Ficheros Analizados: 22260

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

[msc hotline sat]

Eso es !:

EliTriIP v4.28 (c)2008 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Documents and Settings\blueberto\Mis documentos\Mis archivos recibidos\Image-001.JPEG.zip --> Eliminado, SdBot(msn)
C:\Documents and Settings\blueberto\Mis documentos\Mis archivos recibidos\Image-001.JPEG\Image-001.JPEG_www.myspace.com --> Eliminado, SdBot(msn)

Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos

saludos
ms, 11-01-2008