Trojan-Spy.Win32.Banbra.aem SOLUCIONADO

[Annatar]

No consigo borrar este virus:



Trojan-Spy.Win32.Banbra.aem



He pasado antivirus online y NOD32 y nada.



Gracias por adelantado.

[flacoroo]

Bajate estos programitas
Descargar Elistara
Descargar ElitriIP
Descargar Elinotiff


ejecútalos reiniciando tu compu en modo seguro y cuando termines nos pegas el resultado de C:Infosat.txt, copias el resultado y nos lo pegas en le siguiente post...

[Annatar]

Me ha quitado virus que ni siquiera sabía ni me identificaban los antivirus online niu el NOD32 que tengo instalado.



Los hosts no los he posteado porque son muchos y se bloquea la página.



Aquí están lo que ha eliminado.



Se han borrado los virus al completo??? y el que tenía antes???



Gracias.





Fri Feb 22 00:06:11 2008

EliTriIP v4.41 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\select2.exe --> Eliminado, Malware(winsys)

C:\WINDOWS\Options\Install\select2.exe --> Eliminado, Malware(winsys)



Nº Total de Directorios: 4999

Nº Total de Ficheros: 39452

Nº de Ficheros Analizados: 12160

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2





Fri Feb 22 00:11:48 2008

EliStartPage v15.71 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\LMIINIT] -> C:\WINDOWS\SYSTEM32\LMIinit.dll

C:\WINDOWS\SYSTEM32\LMIINIT.DLL --> RemoteAdmin(lmiinit) Renombrado a .VIR

[Claudia34]

Y compleméntalo posteándonos el Log del HJT:


HJT: (HiJackThis)
¿Como utilizar el Hijackthis?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/tren ... ckthis.asp
Tras analizarlo, informaremos.
Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.
Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.

¿Como arrancar en modo a prueba de fallos?

http://www.zonavirus.com/articulos/como ... fallos.asp

Opcional:


Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.
También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.


Y mientras no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:

https://www.virustotal.com/es/

https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//

Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.
Y te dejo tambien otro enlace para que lo disfrutes:

http://www.zonavirus.com/antivirus-on-line/

Saludos.

[msc hotline sat]

Y como sea que el troyano eliminado no sabemos si es lo del BANBRA que decia tener, lance este AV ONLINE y nos postea elm resultado, con un copiar y pegar en su proximo post de respuesta a este Tema

Kaspersky Security Scan

NOTA: Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, y si se detecta fichero infectado, se le pedirá muestra para analizar e implementar su control y eliminaicon en nuestras utilidades.

saludos

ms, 22-2-2008

[Annatar]

Saludos nuevamente:



Voy posteando poco a poco todo lo que me habeis pedido. Esto es una de las cosas de Claudia34



HijackThis en MODO NORMAL, ahí va:



Logfile of HijackThis v1.99.1

Scan saved at 13:59:07, on 22/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\sstray.exe

D:\Programas\NOD32\nod32kui.exe

C:\WINDOWS\ctfmon.exe

C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe

D:\Programas\CyberLink\PowerDVD\PDVDServ.exe

D:\Programas\LogMeIn\x86\LogMeInSystray.exe

C:\WINDOWS\system32\ctfmon.exe

D:\Programas\Mini20\Mini20.exe

C:\Archivos de programa\Messenger\msmsgs.exe

D:\Programas\USB Safely Remove\USBSafelyRemove.exe

C:\Archivos de programa\Yahoo!\Widgets\YahooWidgets.exe

C:\Archivos de programa\Yahoo!\Widgets\YahooWidgets.exe

C:\Archivos de programa\Yahoo!\Widgets\YahooWidgets.exe

D:\Programas\Nero\Nero8\InCD\InCDsrv.exe

D:\Programas\LogMeIn\x86\RaMaint.exe

D:\Programas\LogMeIn\x86\LogMeIn.exe

D:\Programas\Nero\Nero8\Nero BackItUp\NBService.exe

D:\Programas\NOD32\nod32krn.exe

C:\Archivos de programa\Cyberlink\Shared files\RichVideo.exe

D:\Programas\Alcohol 120%\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\hijackthis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = Download Directory

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [nod32kui] "D:\Programas\NOD32\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [CTFMON.EXE] C:\WINDOWS\ctfmon.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] D:\Programas\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [LanguageShortcut] D:\Programas\CyberLink\PowerDVD\Language\Language.exe

O4 - HKLM\..\Run: [LogMeIn GUI] "D:\Programas\LogMeIn\x86\LogMeInSystray.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Mini20] "D:\Programas\Mini20\Mini20.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [USB Safely Remove] D:\Programas\USB Safely Remove\USBSafelyRemove.exe /startup

O4 - Startup: Yahoo! Widgets.lnk = C:\Archivos de programa\Yahoo!\Widgets\YahooWidgets.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\PROGRA~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\OFFICE~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Archivos de programa\Yahoo!\Common\Yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/FacebookPhotoUploader3.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5228/mcfscan.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Programas\Nero\Nero8\InCD\InCDsrv.exe

O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - D:\Programas\LogMeIn\x86\RaMaint.exe

O23 - Service: LogMeIn - LogMeIn, Inc. - D:\Programas\LogMeIn\x86\LogMeIn.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Programas\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Programas\NOD32\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\Cyberlink\Shared files\RichVideo.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Programas\Alcohol 120%\StarWind\StarWindServiceAE.exe

[Annatar]

Posteo análisis del kaspersky pedido por MSC Hotline Sat:



KASPERSKY ONLINE SCANNER INFORME

viernes, 22 de febrero de 2008 14:29:02

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.98.0

Ultima actualización: 22/02/2008

Registros en la base antivirus: 575665





Configuración del análisis

Analizar usando las siguientes bases estendidas

Analizar archivos verdadero

Analizar bases de correo verdadero



Objetivo a analizar Carpetas

C:\



Estadísticas

Número de objeros analizados 36293

Virus encontrados 1

Objetos infectados 1

Objetos sospechosos 0

Duración del análisis 00:31:48



Bombre del objeto infectado Nombre del virus Última acción

C:\Documents and Settings\All Users\Datos de programa\Nero\Nero8\Nero BackItUp\Cache\NeroBackItUpScheduler3.log Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\Silmaril\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado



C:\Documents and Settings\Silmaril\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Silmaril\Configuración local\Datos de programa\Microsoft\CardSpace\CardSpace.db Object is locked saltado



C:\Documents and Settings\Silmaril\Configuración local\Datos de programa\Microsoft\CardSpace\CardSpace.db.shadow Object is locked saltado



C:\Documents and Settings\Silmaril\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado



C:\Documents and Settings\Silmaril\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\Silmaril\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\Silmaril\Configuración local\Datos de programa\Yahoo\Widget Engine\Widget Data\Yahoo! Weather\location data.db Object is locked saltado



C:\Documents and Settings\Silmaril\Configuración local\Datos de programa\Yahoo\Widget Engine\Widgets DB\widgets.db Object is locked saltado



C:\Documents and Settings\Silmaril\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Silmaril\Configuración local\Historial\History.IE5\MSHist012008022220080223\index.dat Object is locked saltado



C:\Documents and Settings\Silmaril\Configuración local\Temp\Perflib_Perfdata_e8.dat Object is locked saltado



C:\Documents and Settings\Silmaril\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\Silmaril\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\Silmaril\ntuser.dat.LOG Object is locked saltado



C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado



C:\System Volume Information\_restore{3CA19D28-AC3B-48D0-8107-7836799014A2}\RP543\A0094228.dll Infectados: Trojan-Spy.Win32.Banbra.aem saltado



C:\System Volume Information\_restore{3CA19D28-AC3B-48D0-8107-7836799014A2}\RP543\change.log Object is locked saltado



C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado



C:\WINDOWS\SchedLgU.Txt Object is locked saltado



C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado



C:\WINDOWS\Sti_Trace.log Object is locked saltado



C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado



C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\default Object is locked saltado



C:\WINDOWS\system32\config\default.LOG Object is locked saltado



C:\WINDOWS\system32\config\Internet.evt Object is locked saltado



C:\WINDOWS\system32\config\SAM Object is locked saltado



C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\SECURITY Object is locked saltado



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado



C:\WINDOWS\system32\config\software Object is locked saltado



C:\WINDOWS\system32\config\software.LOG Object is locked saltado



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\system Object is locked saltado



C:\WINDOWS\system32\config\system.LOG Object is locked saltado



C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado



C:\WINDOWS\system32\h323log.txt Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado



C:\WINDOWS\wiadebug.log Object is locked saltado



C:\WINDOWS\wiaservc.log Object is locked saltado



C:\WINDOWS\WindowsUpdate.log Object is locked saltado



Análisis completado.

[msc hotline sat]

Pues el log del HJT está limpio, y el analisis del Kaspersky nos muestra un resto de infeccion en el RESTORE, que es inocuo salvo que restaurases a un ponto anterior en el que hubiera el virus, por lo que conviene que lo elimines incluso de allí.



Para ello desactiva la restauracion de sistema, arranca en modo segur0 y lanza tu antivirus asi, que podrá llegar a donde está y eliminarlo.



Tras ello vuelve a lanzar el Kaspersky ONLINE para comprobar que no detecte nada, y en cualquier caso nos comentas el resultado para considerar solucionado el Tema



saludos



m,s, 22-2-2008

[Annatar]

Veamos, en primer lugar gracias por la ayuda que me prestan.

En segundo lugar, comentar que he reiniciado en Modo Seguro para Analizar en NOD32 y me ha detectado el siguiente virus:

El archivo C:\Documents and Settings\Silmaril\Datos de programa\Sun\Java\Deployment\cache\6.0\43\65cc22eb-24a1251d está infectado con (Troyano) Java/TrojanDownloader.OpenStream.NAB.

He pasado en Modo Seguro el Spybot y el Ad-Aware SE Personal, y después en Modo Seguro en Red el Panda Online también, detectándome lo siguiente:

Spyware:Cookie/Xiti No desinfectado
C:\Documents and Settings\Silmaril\Cookies\silmaril@xiti[1].txt

Dialer:dialer.wb No desinfectado C:\WINDOWS\ctfmon.exe

Por último, me gustaría preguntarles que antivirus me aconsejan que tenga instalado en el ordenador. Ya tengo de tiempo el Spybot y el Ad-Aware y no se que antivirus es el más recomendable para evitar este tipo de problemas más veces.

Gracias por la ayuda.
PD: Posteo HijackThis pasado en Modo Seguro y en cuanto termine de analizar ahora el Kasperky Online en Modo Normal lo posteo también a continuación de este:

Logfile of HijackThis v1.99.1
Scan saved at 13:59:07, on 22/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
D:\Programas\NOD32\nod32kui.exe
C:\WINDOWS\ctfmon.exe
C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe
D:\Programas\CyberLink\PowerDVD\PDVDServ.exe
D:\Programas\LogMeIn\x86\LogMeInSystray.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programas\Mini20\Mini20.exe
C:\Archivos de programa\Messenger\msmsgs.exe
D:\Programas\USB Safely Remove\USBSafelyRemove.exe
C:\Archivos de programa\Yahoo!\Widgets\YahooWidgets.exe
C:\Archivos de programa\Yahoo!\Widgets\YahooWidgets.exe
C:\Archivos de programa\Yahoo!\Widgets\YahooWidgets.exe
D:\Programas\Nero\Nero8\InCD\InCDsrv.exe
D:\Programas\LogMeIn\x86\RaMaint.exe
D:\Programas\LogMeIn\x86\LogMeIn.exe
D:\Programas\Nero\Nero8\Nero BackItUp\NBService.exe
D:\Programas\NOD32\nod32krn.exe
C:\Archivos de programa\Cyberlink\Shared files\RichVideo.exe
D:\Programas\Alcohol 120%\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = Download Directory
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [nod32kui] "D:\Programas\NOD32\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CTFMON.EXE] C:\WINDOWS\ctfmon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] D:\Programas\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] D:\Programas\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [LogMeIn GUI] "D:\Programas\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Mini20] "D:\Programas\Mini20\Mini20.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [USB Safely Remove] D:\Programas\USB Safely Remove\USBSafelyRemove.exe /startup
O4 - Startup: Yahoo! Widgets.lnk = C:\Archivos de programa\Yahoo!\Widgets\YahooWidgets.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\PROGRA~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Archivos de programa\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/FacebookPhotoUploader3.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5228/mcfscan.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Programas\Nero\Nero8\InCD\InCDsrv.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - D:\Programas\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - D:\Programas\LogMeIn\x86\LogMeIn.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Programas\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Programas\NOD32\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\Cyberlink\Shared files\RichVideo.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Programas\Alcohol 120%\StarWind\StarWindServiceAE.exe

[msc hotline sat]

Pues está claro que este antivirus no lo controla, como que el ONLINE de kaspersky sí que lo hace, pero no limpia, baje la version trial y pruebela arrancando como le hemos indicado

http://www.kaspersky.com/anti-virus_trial/


saludos

ms, 22-2-2008

[Annatar]

Creo que nos hemos liado, me explico. lo siento.
Veamos el virus:
- Trojan-Spy.Win32.Banbra.aem (el del título del post): ha sido desinfectado por los pasos que hemos dado hasta ahora, este virus lo detectaba el Panda y kaspersky online y ya no está en los retore ni en ningún sitio. (A continuación expongo los resultados del análisis para que lo compruebe).

- El virus TrojanDownloader.OpenStream.NAB. es detectado por el NOD32 pero no lo borra,y no lo detecta ni el panda ni el kaspersky online. (este y el spyware y dialer siguientes han aparecido intentando borrar el primero de todos)

- El spyware y el dialer siguiente; es detectado sólo por el panda online y no los borra, mientras que el kaspersky y el NOD 32 no lo detecta. (Tampoco lo detecta el Spybot ni el Ad-Aware)

Spyware:Cookie/Xiti No desinfectado
C:\Documents and Settings\Silmaril\Cookies\silmaril@xiti[1].txt

Dialer:dialer.wb No desinfectado C:\WINDOWS\ctfmon.exe


A continuación expongo el análisis de haber pasado el kaspersky online para corroborar que no existe el primer virus (Trojan-Spy.Win32.Banbra.aem, el del título del post), pero siguen existiendo el virus TrojanDownloader.OpenStream.NAB, el spyware y el dialer.

POSTEO:
KASPERSKY ONLINE SCANNER INFORME
viernes, 22 de febrero de 2008 17:43:21
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.98.0
Ultima actualización: 22/02/2008
Registros en la base antivirus: 575762


Configuración del análisis
Analizar usando las siguientes bases estendidas
Analizar archivos verdadero
Analizar bases de correo verdadero

Objetivo a analizar Carpetas
C:\

Estadísticas
Número de objeros analizados 36401
Virus encontrados 0
Objetos infectados 0
Objetos sospechosos 0
Duración del análisis 00:32:23

Bombre del objeto infectado Nombre del virus Última acción
C:\Documents and Settings\All Users\Datos de programa\Nero\Nero8\Nero BackItUp\Cache\NeroBackItUpScheduler3.log Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\Silmaril\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\Silmaril\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Silmaril\Configuración local\Datos de programa\Microsoft\CardSpace\CardSpace.db Object is locked saltado

C:\Documents and Settings\Silmaril\Configuración local\Datos de programa\Microsoft\CardSpace\CardSpace.db.shadow Object is locked saltado

C:\Documents and Settings\Silmaril\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado

C:\Documents and Settings\Silmaril\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Silmaril\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Silmaril\Configuración local\Datos de programa\Yahoo\Widget Engine\Widget Data\Yahoo! Weather\location data.db Object is locked saltado

C:\Documents and Settings\Silmaril\Configuración local\Datos de programa\Yahoo\Widget Engine\Widgets DB\widgets.db Object is locked saltado

C:\Documents and Settings\Silmaril\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Silmaril\Configuración local\Historial\History.IE5\MSHist012008022220080223\index.dat Object is locked saltado

C:\Documents and Settings\Silmaril\Configuración local\Temp\~DF4E39.tmp Object is locked saltado

C:\Documents and Settings\Silmaril\Configuración local\Temp\~DFC480.tmp Object is locked saltado

C:\Documents and Settings\Silmaril\Configuración local\Temp\~WRS0000.tmp Object is locked saltado

C:\Documents and Settings\Silmaril\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Silmaril\Datos de programa\Microsoft\Plantillas\Normal.dot Object is locked saltado

C:\Documents and Settings\Silmaril\Escritorio\Veamos.doc Object is locked saltado

C:\Documents and Settings\Silmaril\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\Silmaril\ntuser.dat.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{3CA19D28-AC3B-48D0-8107-7836799014A2}\RP1\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.

[msc hotline sat]

Pues envienos los ficheros en cuestion que aun le queden infectados, y procederemos a implementar su control y eliminacion en nuestras utilidades.

saludos

ms, 22-2-2008


NOTA: y de momento renombre la extension de dichos ficheros a .VIR para que no se pongan en uso tras reiniciar. ms.

[Annatar]

No he conseguido mandar una muestra del spyware porque la ruta no aparece cuando lo busco en el explorador de windows ni tampoco aparece estando como fichero oculto ni con la opción de buscar de inicio.



no se como mandar la muestra del spyware.



el troyano y el dialer están mandados.



Gracias.



PD: Siento el postear en paralelo hoy, es que no veia el post.

[msc hotline sat]

Veras, este fichero en el que se detecta el troyano, es del RESTORE:



C:\System Volume Information\_restore{3CA19D28-AC3B-48D0-8107-7836799014A2}\RP543\A0094228.dll Infectados: Trojan-Spy.Win32.Banbra.aem saltado



Y para acceder a dicha carpeta, se ha de desactivar la restauracion de sistema y arrancar en modo seguro, y así copiar dicho fichero a otro medio y luego, en modo normal, enviarnos muestra, tras lo que la analizaremos e implementaremos su control y eliminacion en nuestras utilidades, y si no puedes, tampoco te va a hacer nada si no restauras a un punto anterior en el que existiera este virus activo, pero sería una pena dejar de controlarlo y tenerlo ahí ...



saludos



ms, 23-2-2008

[Annatar]

El que mencionas es el que tengo borrado ya, es este el que no consigo la muestra:

Spyware:Cookie/Xiti No desinfectado
C:\Documents and Settings\Silmaril\Cookies\silmaril@xiti[1].txt

El que me comentas en tu último post conseguí borrarlo arrancando en modo seguro y pasando antivirus, osea se, este: Trojan-Spy.Win32.Banbra.aem está borrado y eliminado de RESTORE.

Los que no se borran son los siguientes:
TrojanDownloader.OpenStream.NAB. (distinto al del título del post) muestra enviada

Spyware:Cookie/Xiti No desinfectado
C:\Documents and Settings\Silmaril\Cookies\silmaril@xiti[1].txt
(NO CONSIGO DE ESTE EXTRAER MUESTRA)

Dialer:dialer.wb No desinfectado C:\WINDOWS\ctfmon.exe muestra enviada

[msc hotline sat]

Los enviados los analizaremos el lunes, cuando volvamos al trabajo en SATINFO, y pasaremos a implementarlos en las proximas versiones de nuestras utilidades, de lo cual informaremos



Pero del que dices:



[b][i]C:\Documents and Settings\Silmaril\Cookies\silmaril@xiti[1].txt [/i][/b]



olvidalo, es una simple cookie de seguimiento, si quieres puedes mirar de eliminar dicho fichero y listos, es de texto. Nosotros no hacemos caso de ello por no ser ejecutable, los txt ni los miramos !



la pena es el que ya eliminaste, nos hubiera gustado analizarlo para controlarlo...



saludos



ms, 23-2-2008

[Annatar]

Os estoy muy agradecido por al ayuda que me habeis prestado.



Si necesitas alguna ayuda alguna vez desde mi humilde posición de aficionado a la informática, por aquí estoy.



Nos vemos por estos foros. (Enhorabuena por ellos)



PD: Siento haber borrado el restore.



Espero el aviso de salida de aplicaciones el lunes. gracias nuevamente.

[msc hotline sat]

A partir de las 19 h GMT del lunes, descarga el ELISTARA y pruebalo, que los ejecutables troyanos que nos hayas enviado, los implementaremos en la nueva version de dicha utilidad.



Tras probarla, posteanos el contenido de c:\infosat.txt para ver el resultado del proceso.



saludos



ms, 23-2-2008

[Annatar]

Resuelto:

El Dialer fue quitado al final por el panda que he instalado.



El Spyware está borrado por el Elistara.



Gracias por la ayuda.



Posteo resultados:



Mon Feb 25 19:18:31 2008

EliStartPage v15.73 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\CTFMON.VIR.EXE --> Eliminado, Malware.Ctfmon



Nº Total de Directorios: 4834

Nº Total de Ficheros: 33851

Nº de Ficheros Analizados: 11624

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[lucl]

pues nos alegramos mucho y cerramos el post dandolo por solucionado, saludos y vuelve cuando quieras

[msc hotline sat]

Dices "[b][i]El Dialer fue quitado al final por el panda que he instalado[/i][/b]."



Pues si te refieres a "[b][i]Dialer:dialer.wb No desinfectado C:\WINDOWS\ctfmon.exe muestra enviada[/i][/b]",



no lo eliminó el Panda, pero ya el ELISTARA lo hizo posteriormente...:


[quote]
EliStartPage v15.73 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\CTFMON.VIR.EXE --> Eliminado, Malware.Ctfmon[/quote]

A cada cual lo suyo ... :wink:



y como indica lucl, nos alegramos que se haya solucionado y cerramos el Tema.