un pequeña ayuda

[stigmata33]

hola lo primero es presentarme, es la primera vez que visito este foro, por lo que he leido es muy bueno el trabajo que se realiza y la ayuda, el motivo de mio es que tengo segun el antivirus online trend micro es que tengo un malware, le doy a limpiar ahora y nada de nada, no se como eliminarlo, he intentado eliminarlo manualmente y no encuentro esos archivos esta es la imagen:

http://img100.imageshack.us/my.php?image=malwareyj6.gif

he escaneado tambien online con el karpesky y no me encuentra nada, tengo instalado el nod32, el adware, el spyboot y el spyware terminator, ninguno me encuentra nada, solo el trend micro online y no me lo elimina, como puedo eliminarlo gracias

[lucl]

prueba con este otro online





https://www.virustotal.com/es/





y ejecuta elistara y elitriip por si acaso y nos pegas el log que te dejara en C infosat.txt





http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp



y si no te lo limpian sigue la ruta y nos envias los archivos a analizar siguiendo las instrucciones del link



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos

[msc hotline sat]

Parece que TREND detecta un malware, que debe eliminar, pero a lo mejor esta en uso y windows no lo permite.



Repita el escaneo de TREND pero arrancando en modo seguro, y nos cuenta el resultado, gracias



saludos



ms, 28-1-2008

[stigmata33]

hola gracias por la ayuda, de momento he escaneado y este es el informe:



Mon Jan 28 13:56:48 2008

EliStartPage v15.52 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIV~1\CRAWLER\TOOLBAR\CTBR.DLL --> Eliminado CrawlerToolbar(BHO/TB)

Eliminada Class, "{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}" -> C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll

Eliminada Class, "{4B3803EA-5230-4DC3-A7FC-33638F3D3542}" -> C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll

Eliminada Class, "{4D25FB7A-8902-4291-960E-9ADA051CFBBF}" -> C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jan 28 14:00:18 2008

EliTriIP v4.31 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\DNSSERV.EXE.Muestra EliTriIP v4.31

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DNSSERV.EXE --> Eliminado



Mon Jan 28 14:01:57 2008

EliTriIP v4.31 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\SolidDocuments\Installer\Solid Converter PDF\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\Downloads\Voces Alertas TTM S 520.exe --> Eliminado, Bifrose(dropper)

C:\WINDOWS\psdk.exe --> Eliminado, Bifrose(dropper)

C:\WINDOWS\psdkx.exe --> Eliminado, Bifrose(dropper)

C:\WINDOWS\sxysok.exe --> Eliminado, Bifrose(dropper)

C:\WINDOWS\sysok.exe --> Eliminado, Bifrose(dropper)



Nº Total de Directorios: 4727

Nº Total de Ficheros: 50387

Nº de Ficheros Analizados: 14054

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 6





no se si he seguido bien los pasos, si me he equivocado decirmelo e intento hacerlo de nuevo gracias

[msc hotline sat]

Pues parece que los indicados por TREND no han sido detectados.



Proceda a lanzar dicho antivirus arrancando en modo seguro, y si persiste el problema envienos dichos ficheros para analizar



Para ello recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 28-1-2008

[stigmata33]

[quote="msc hotline sat"]Pues parece que los indicados por TREND no han sido detectados.



Proceda a lanzar dicho antivirus arrancando en modo seguro, y si persiste el problema envienos dichos ficheros para analizar



Para ello recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 28-1-2008[/quote]

hola de nuevo, arranco en modo seguro pero tengo que desconectar internet con lo cual no puedo escanear online mi pc, intente escanear con el nod32 que es el que tengo instalado pero no puedo en modo seguro, tampoco entiendo como "enviar ficheros para analizar" como se hace perdonar mi ignorancia, puede ser los ficheros infestados? pero no los encuentro en el directorio que me dice el trend micro, deben estar oculto, como los encuentro? gracias



por cierto, esto que es? ELIMINACION DE CLAVES CON HJT, como se hace? y para que sirve?

[lucl]

Pues muy facil mira envianos este fichero



Por favor, envienos una muestra del fichero

C:\Muestras\DNSSERV.EXE.Muestra EliTriIP v4.31



en C tienes una carpeta de nombre muestras que tiene el archivo, lo comprimes con winrar o winzip y le pones contraseña tal y como te indicamos en el link siguiente echa un vistazo y confirmanos si has podido enviarlo, saludos





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[stigmata33]

hola enviado esta, por lo menos es lo se me ha confirmado, espero pronto noticias positivas, a ver si consigo eliminar lo que tengo gracias

[lucl]

Mañana te diran algo a lo largo del dia, estate atento a tu post, saludos

[msc hotline sat]

Si lo has enviado como se indica en :



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



hoy entrará en I+D y tras analizarlo se implementará su control y eliminacion en nuestras utilidades, de lo cual informaremos



saludos



ms, 29-1-2008

[msc hotline sat]

El fichero recibido para analizar parece ser una variante de SDBOT generado por la familia del Bropia, pasandolo a controlar como RBOT con la version del ELITRIIP 4.33 que estamos haciendo hoy, y que se subira a esta web a las 19 h , para pruebas de evaluacion en el foro de zonavirus.



Tras descargarlo a partir de entonces y probarlo, comentenos el resultado, gracias



saludos



ms, 29-1-2008

[msc hotline sat]

A título de informacion, subido este fichero a VirusTotal, , el analisis de Prev complementa con las siguientes indicaciones:


[quote="Prev"]This executable program has a file size of 637,952 bytes, it is called 02018132.3 and is located in the %mai%\ folder.

[b][i]This file has not yet been classified as safe.[/i][/b] It was first seen on Tuesday, Jan 29 2008. It has only been seen by one user in this section of the community. The file has only been seen in SPAIN.

02018132.3 has been seen to perform the following behaviors:

- The Process is packed and/or encrypted using a software packing process

- The Process is polymorphic and can change its structure[/quote]

Por lo indicado y visto que crea una clave para lanzarse en el inicio, se elimina fichero y clave en cuestion con el ELITRIIP 4.33



saludos



ms, 29-1-2008

[stigmata33]

[quote="msc hotline sat"]A título de informacion, subido este fichero a VirusTotal, , el analisis de Prev complementa con las siguientes indicaciones:


[quote="Prev"]This executable program has a file size of 637,952 bytes, it is called 02018132.3 and is located in the %mai%\ folder.

[b][i]This file has not yet been classified as safe.[/i][/b] It was first seen on Tuesday, Jan 29 2008. It has only been seen by one user in this section of the community. The file has only been seen in SPAIN.

02018132.3 has been seen to perform the following behaviors:

- The Process is packed and/or encrypted using a software packing process

- The Process is polymorphic and can change its structure[/quote]

Por lo indicado y visto que crea una clave para lanzarse en el inicio, se elimina fichero y clave en cuestion con el ELITRIIP 4.33



saludos



ms, 29-1-2008[/quote]

hola por lo que indicas bajandome el ELITRIIP 4.33 se eliminaria no? pero yo me he descargado el que me habeis puesto arriba y no lo ha eliminado, que es otra version mas actual que la que hay arriba?

[msc hotline sat]

Claro, decimos:



[b][i]pasandolo a controlar como RBOT con la version del ELITRIIP 4.33 que estamos haciendo hoy, y que se subira a esta web a las 19 h[/i][/b]



Es que estás en Asia donde ya son las 19 horas ???



saludos



ms, 29-1-2008

[stigmata33]

no me di cuenta a la hora de registrarme en la franja horaria, estoy en españa, cuando este listo el ELITRIIP 4.33 supongo que me lo comunicareis, gracias por todo

[msc hotline sat]

Se le decía que lo hiciera despues de las 19 horas ... y se informó al foro en:



https://foros.zonavirus.com/nuevas-versiones-de-elistara-1554-y-elitriip-433-vt23262.html



Ahora recuerde postearnos el resultado:



"[b][i]Tras descargarlo a partir de entonces y probarlo, comentenos el resultado, gracias[/i][/b] "



saludos



ms, 30-1-2008

[stigmata33]

hola estos son los resultados:



Mon Jan 28 13:56:48 2008

EliStartPage v15.52 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIV~1\CRAWLER\TOOLBAR\CTBR.DLL --> Eliminado CrawlerToolbar(BHO/TB)

Eliminada Class, "{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}" -> C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll

Eliminada Class, "{4B3803EA-5230-4DC3-A7FC-33638F3D3542}" -> C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll

Eliminada Class, "{4D25FB7A-8902-4291-960E-9ADA051CFBBF}" -> C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jan 28 14:00:18 2008

EliTriIP v4.31 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\DNSSERV.EXE.Muestra EliTriIP v4.31

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DNSSERV.EXE --> Eliminado



Mon Jan 28 14:01:57 2008

EliTriIP v4.31 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\SolidDocuments\Installer\Solid Converter PDF\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\Downloads\Voces Alertas TTM S 520.exe --> Eliminado, Bifrose(dropper)

C:\WINDOWS\psdk.exe --> Eliminado, Bifrose(dropper)

C:\WINDOWS\psdkx.exe --> Eliminado, Bifrose(dropper)

C:\WINDOWS\sxysok.exe --> Eliminado, Bifrose(dropper)

C:\WINDOWS\sysok.exe --> Eliminado, Bifrose(dropper)



Nº Total de Directorios: 4727

Nº Total de Ficheros: 50387

Nº de Ficheros Analizados: 14054

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 6



Wed Jan 30 14:28:50 2008

EliStartPage v15.54 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Wed Jan 30 14:28:52 2008

EliStartPage v15.54 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\MessengerPlus! 3\MSGPLUS.EXE --> Eliminado, MessengerPlus

C:\Documents and Settings\x\Configuración local\Temp\CMDLINEEXT03.DLL --> Acceso Denegado, Spy-CmdLineExt



Nº Total de Directorios: 4749

Nº Total de Ficheros: 62268

Nº de Ficheros Analizados: 15440

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 1



Wed Jan 30 14:40:38 2008

EliTriIP v4.33 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Wed Jan 30 14:41:15 2008

EliTriIP v4.33 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\DNSSERV.EXE.Muestra EliTriIP v4.31 --> Eliminado, RBot

C:\WINDOWS\120.exe --> Eliminado, RBot



Nº Total de Directorios: 4749

Nº Total de Ficheros: 62345

Nº de Ficheros Analizados: 14472

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

voy a volver a escanear mi pc con el trend micro online a ver si ya no encuentra nada, mantendre iformado, si falta algo por poner o decir decidmelo gracias de nuevo

[msc hotline sat]

Bien, pues el RBOT ya se ha eliminado, pero con el ELISTARA aparece un ACCESO DENEGADO en la eliminacion de un fichero:


[quote]Wed Jan 30 14:28:52 2008

EliStartPage v15.54 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\MessengerPlus! 3\MSGPLUS.EXE --> Eliminado, MessengerPlus

C:\Documents and Settings\x\Configuración local\Temp\[b][i]CMDLINEEXT03.DLL --> Acceso Denegado,[/i][/b] Spy-CmdLineExt



Nº Total de Directorios: 4749

Nº Total de Ficheros: 62268

Nº de Ficheros Analizados: 15440

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 1



Wed Jan 30 14:40:38 2008

EliTriIP v4.33 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Wed Jan 30 14:41:15 2008

EliTriIP v4.33 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\DNSSERV.EXE.Muestra EliTriIP v4.31 --> Eliminado, RBot

C:\WINDOWS\120.exe --> Eliminado, RBot [/quote]

Entiendo que al estar en una carpeta temporal ya se ha eliminado dicha carpeta y logicamente no encuentra el fichero para eliminar, pero compruebelo...



Y asi nos indica si tras dicha comprobacion ya no persiste el problema y podemos dar por solucionado el Tema, gracias



saludos



ms, 30-1-2008

[stigmata33]

GRACIAS todo eliminado segun trend micro online, pero me gustaria saber algomas, os comento, para que sirven el ELITRIIP 4.33 y el ELISTARA?, y una cosa mas, tengo el nod32, el spyboot, el adware y el spyware terminator, necisito algo mas para tener mas seguridad e intimidad? o me sobra algo y cambiarlo por algo? es conveniente hacer escaneos con el ELITRIIP 4.33 y el ELISTARA? gracias por responder a mis dudas y gracias por la ayuda que me habeis prestado

[msc hotline sat]

Un cortafugos seria recomendable, por lo menos uno de software...:



https://foros.zonavirus.com/viewtopic.php?f=1&t=10771



y ELISTARA y ELITRIIP son utilidades para analisis puntuales, pero deben descargarse cuando se quieren probar, pues casi cada día son renovadas, asi que no guardes las antiguas ...



Con el ELISTARA vamos controlando los troyanos de Internet, y con el ELITRIIP los gusanos, como puedes ver en la descripcion-resumen de cada version en la pagina de DESCARGA



y de los 3 antispywares que mensionas (el spyboot, el adware y el spyware terminator) creo que podrías prescindir de alguno, a tu eleccion.



saludos



ms, 30-1-2008