paramore. genera miles de archivos en carpeta P2P (CERRADO)

[darkgaze]

Hola chicos.



pues que he sido imbécil y he ejecutado un archivo llamado



Installer-Crack-Keygen.exe



Que me bajé buscando miles de archivos distintos y sn darme cuenta lo he instalado (que idiotez...).

Ahora lo que pasa es que me genera en la carpeta de emule un archivo llamado "paramore" sin extensión, y 0ks. Y luego miles y miles de archivos con nombres de los más comunes archivos que la gente se baja, todos ocupando un mega y medio, que es el mismo archivo este que instalé.



Una burda forma de expandirse por la web, si señor. No se qué demonios está haciendo por debajo. Pero siempre que los borro me los crea. He busacdo en el registro y solo hay una entrada que hace referencia a este archivo, pero no tiene nada que ver.





En fin. No se qué demonios de virus es, pero ahora no sé que hacer para qutiarlo.

he mirado en las cosas que ejecuta al iniciar el pc, y no he visto que ninguna tenga pinta de esto...





No se qué hacer. Quizá cambiar el nombre e la carpeta y ver si da error... pero de todas formas me extraña. Y además estará haciendo cosas a mis espaldas, o no!.







Tenéis idea de qué demonios es o de qué forma puedo buscarle la pista? tengo el ejecutable, pero vaya usted a saber qué c**o instala. Si pudiera saberlo...

[msc hotline sat]

Pues debe ser este Archivarius:



http://www.pandasecurity.com/spain/homeusers/security-info/about-malware/encyclopedia/overview.aspx?lst=det&idvirus=188726&sitepanda=particulares





Envianos estos ficheros y los analizaremos:



NTSpool.exe



WinSecure.exe





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras ello implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



saludos



ms, 20-3-2008

[darkgaze]

He pasado varios antivirus y uno de ellos me avisó de estos dos archivos malignos y los eliminé... O_o



he hecho bien?. Vamos, me recomendaba eliminarlos. Espero no haber cometido errores.



He visto la lista de archivos que crea en el artículo de panda y efectivaemtne , creo que son los mismos. (unos 2000).





Ahora ya no me sale, pero voy a echar un vistazo a las claves de registro que crea, y las cosas que tiene asociadas.





haciendo una búsqueda he encontrado solo un archivo qeu teine que ver con winsecure:



WINSECURE.EXE-3A73EF4A.pf



en windows/prefetch



Del ntspool no queda rastro.

Borro ese archivo?





Ahora miro el registro y eso, a ver si queda algún rastro.

(gracias por toda la ayuda , gracias de verdad!)

[darkgaze]

He encontrado nada más que



HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ Run

Windows Security Tool = WinSecure.exe





Activa. La he eliminado. (espero haber hecho bien!...). Esto supongo que hacía la ejecución y generaba todos esos archivos, no es así?





Pues parece que era el problema. Decidme si al menos he hecho bien, y si borro aquel archivo tambien.





Gracias a todos

[msc hotline sat]

Pues no parece que no hayas entendido.



Te deciamos que nos enviaras los ficheros para analizarlos...



En lugar de ello parece que los has eliminado. Pues si es asi, has hecho un flaco favor a este foro !



Se trata de enviar las muestras para analizarlas y poder implementar su control y eliminacion en las utilidades que hacemos a diario con tal fin . Si en lugar de ello los ha eliminado... sin comentarios.



ms.

[darkgaze]

antes de preguntar en el foro he pasado un antivirus y se han borrado estos archivos... no sabía que tenían algo que ver y tampoco sabía que podíais analizarlos!.





pero el archivo ese que os digo que permanece, qué hago con él?

[lucl]

Pues envianoslo siguiendo las isntrucciones de este link que te dejo



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



ademas con el boton derecho del raton selecciona cambiar nombre y le cambias la extension, le dejas el mismo nombre pero le quitas el .exe y le pones .VIR para que no se ejecute en el proximo reinicio mientras te analizamos el archivo y te damos la herramienta adecuada, saludos

[darkgaze]

enviado. :-)







gracias a todos

[lucl]

Muy bien, pues ahora ya tan solo renombralo que supongo ya lo has [b][i]h[/i][/b]echo para que no de la lata y cuando lo analicen te diran algo, saludos

[msc hotline sat]

Cuando volvamos al trabajo en SATINFO, analizaremos las muestras de este virus y pasaremos a controlarlo con nuestras uitilidades, de lo cual informaremos, paralelamente con este Tema:



https://foros.zonavirus.com/viewtopic.php?f=5&t=24114



que parece tener miles de ficheros infectados al respecto, y tambien haberlo descargado a través del eMule !!!



Para ver la extension de la infeccion en su caso, lance este AV ONLINE , ya que en el otro caso han sido mas de 8000 los ficheros infectados !. Posteenos el resultado:





[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, o indicando la utilidad a probar para solucionarlo.



saludos



ms, 21-03-2008

[darkgaze]

-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

viernes, 21 de marzo de 2008 14:13:30

Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 21/03/2008

Registros en la base antivirus: 587568

-------------------------------------------------------------------------------



Configuración del análisis:

Analizar usando las siguientes bases: standard

Analizar archivos: verdadero

Analizar bases de correo: verdadero



Objetivo a analizar - Mi PC:

A:\

C:\

D:\

E:\

F:\

G:\



Estadísticas:

Número de objeros analizados: 225524

Virus encontrados: 3

Objetos infectados: 4 / 0

Objetos sospechosos: 0

Duración del análisis: 02:48:11



Bombre del objeto infectado / Nombre del virus / Última acción

C:\Archivos de programa\Apache Group\Apache2\logs\access.log Object is locked saltado

C:\Archivos de programa\Apache Group\Apache2\logs\error.log Object is locked saltado

C:\Archivos de programa\Avast4\DATA\aswResp.dat Object is locked saltado

C:\Archivos de programa\Avast4\DATA\Avast4.db Object is locked saltado

C:\Archivos de programa\Avast4\DATA\log\nshield.log Object is locked saltado

C:\Archivos de programa\MySQL\MySQL Server 5.0\data\darkpc.err Object is locked saltado

C:\Archivos de programa\MySQL\MySQL Server 5.0\data\ibdata1 Object is locked saltado

C:\Archivos de programa\MySQL\MySQL Server 5.0\data\ib_logfile0 Object is locked saltado

C:\Archivos de programa\MySQL\MySQL Server 5.0\data\ib_logfile1 Object is locked saltado

C:\Archivos de programa\Sygate\SPF\debug.log Object is locked saltado

C:\Archivos de programa\Sygate\SPF\rawlog.log Object is locked saltado

C:\Archivos de programa\Sygate\SPF\seclog.log Object is locked saltado

C:\Archivos de programa\Sygate\SPF\syslog.log Object is locked saltado

C:\Archivos de programa\Sygate\SPF\tralog.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\DarkGaze\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\DarkGaze\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\DarkGaze\Configuración local\Datos de programa\Ahead\Nero Home\bl.db Object is locked saltado

C:\Documents and Settings\DarkGaze\Configuración local\Datos de programa\Ahead\Nero Home\is2.db Object is locked saltado

C:\Documents and Settings\DarkGaze\Configuración local\Datos de programa\Identities\{C4D659C4-62E8-4589-B13F-D7E3CFA7FEDF}\Microsoft\Outlook Express\Folders.dbx Object is locked saltado

C:\Documents and Settings\DarkGaze\Configuración local\Datos de programa\Identities\{C4D659C4-62E8-4589-B13F-D7E3CFA7FEDF}\Microsoft\Outlook Express\Offline.dbx Object is locked saltado

C:\Documents and Settings\DarkGaze\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\DarkGaze\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\DarkGaze\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\c4zjg5uy.default\Cache\_CACHE_001_ Object is locked saltado

C:\Documents and Settings\DarkGaze\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\c4zjg5uy.default\Cache\_CACHE_002_ Object is locked saltado

C:\Documents and Settings\DarkGaze\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\c4zjg5uy.default\Cache\_CACHE_003_ Object is locked saltado

C:\Documents and Settings\DarkGaze\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\c4zjg5uy.default\Cache\_CACHE_MAP_ Object is locked saltado

C:\Documents and Settings\DarkGaze\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\DarkGaze\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\DarkGaze\Datos de programa\Mozilla\Firefox\Profiles\c4zjg5uy.default\cert8.db Object is locked saltado

C:\Documents and Settings\DarkGaze\Datos de programa\Mozilla\Firefox\Profiles\c4zjg5uy.default\formhistory.dat Object is locked saltado

C:\Documents and Settings\DarkGaze\Datos de programa\Mozilla\Firefox\Profiles\c4zjg5uy.default\history.dat Object is locked saltado

C:\Documents and Settings\DarkGaze\Datos de programa\Mozilla\Firefox\Profiles\c4zjg5uy.default\key3.db Object is locked saltado

C:\Documents and Settings\DarkGaze\Datos de programa\Mozilla\Firefox\Profiles\c4zjg5uy.default\parent.lock Object is locked saltado

C:\Documents and Settings\DarkGaze\Datos de programa\Mozilla\Firefox\Profiles\c4zjg5uy.default\search.sqlite Object is locked saltado

C:\Documents and Settings\DarkGaze\Datos de programa\Mozilla\Firefox\Profiles\c4zjg5uy.default\urlclassifier2.sqlite Object is locked saltado

C:\Documents and Settings\DarkGaze\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\DarkGaze\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Temp\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Temp\History\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Temp\Temporary Internet Files\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{FD7DD915-6780-4B8C-8268-80C1C24105C2}\RP153\A0025048.exe Infectados: Trojan-Downloader.Win32.Agent.kzm saltado

C:\System Volume Information\_restore{FD7DD915-6780-4B8C-8268-80C1C24105C2}\RP161\A0025711.exe Infectados: Trojan-Downloader.Win32.Agent.kzm saltado

C:\System Volume Information\_restore{FD7DD915-6780-4B8C-8268-80C1C24105C2}\RP163\A0026816.exe Infectados: P2P-Worm.Win32.Archivarius.a saltado

C:\System Volume Information\_restore{FD7DD915-6780-4B8C-8268-80C1C24105C2}\RP163\A0026817.exe Infectados: Trojan.Win32.Agent.ftz saltado

C:\System Volume Information\_restore{FD7DD915-6780-4B8C-8268-80C1C24105C2}\RP164\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\Antivirus.Evt Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\Temp\hlktmp Object is locked saltado

C:\WINDOWS\Temp\ib1.tmp Object is locked saltado

C:\WINDOWS\Temp\ib2.tmp Object is locked saltado

C:\WINDOWS\Temp\ib3.tmp Object is locked saltado

C:\WINDOWS\Temp\ib4.tmp Object is locked saltado

C:\WINDOWS\Temp\ib5.tmp Object is locked saltado

C:\WINDOWS\Temp\Perflib_Perfdata_52c.dat Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado



Análisis completado.

[msc hotline sat]

Pues solo aparecen 4 ficheros infectados en la carpeta del RESTORE, asi que mientras no restaure sistema a un punto anterior, no pasa nada.



Uno de ello corresponde a dicho virus Archivarius, y los otros no, dos a un downloader Agent.kzm y el otro al troyano Agent.ftz :



C:\System Volume Information\_restore{FD7DD915-6780-4B8C-8268-80C1C24105C2}\RP153\A0025048.exe Infectados: [b][i]Trojan-Downloader.Win32.Agent.kzm [/i][/b]saltado

C:\System Volume Information\_restore{FD7DD915-6780-4B8C-8268-80C1C24105C2}\RP161\A0025711.exe Infectados: [b][i]Trojan-Downloader.Win32.Agent.kzm [/i][/b]saltado

C:\System Volume Information\_restore{FD7DD915-6780-4B8C-8268-80C1C24105C2}\RP163\A0026816.exe Infectados: [b][i]P2P-Worm.Win32.Archivarius.a[/i][/b] saltado

C:\System Volume Information\_restore{FD7DD915-6780-4B8C-8268-80C1C24105C2}\RP163\A0026817.exe Infectados: [b][i]Trojan.Win32.Agent.ftz[/i][/b] saltado



Por ahora los tiene inactivos, asi que puede estar tranquilo mientras no restaure como se le ha dicho. La proxima version de nuestras utilidades ya controlará el Archivarius como se le ha dicho y podrá eliminarlo y quizas con ello eliminará del Restore tambien los otros, ya lo veremos en el infosat.txt resultante.



Ya informaremos de la utilidad a probar, cuando se haya analizado la muestra enviada e implementado en ella su control.



saludos



ms,

[darkgaze]

escribiréis aquí? o tengo que mirar de vez en cuando aquel post que decís? (era para un problema concreto, pero para el resto?)





Los otros 3 archivos víricos puedo eliminarlos ya?

el otro debo esperar, no?

[msc hotline sat]

No hace falta que hagas nada, no estan activos al estar en el RESTORE. Solo sirven para una posible restauracion de sistema si se quisiera, pero tal cual estan dejalos !



Y los que envian muestras como se indica en :



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



se informa en el Tema que tenga abierto el forero del nick que se indique como referencia.



saludos



ms, 21-03-2008

[msc hotline sat]

Deciamos :


[quote]Envianos estos ficheros y los analizaremos:



NTSpool.exe



WinSecure.exe[/quote]

y solo hemos recibido el WinSecure pero con extension pf (prefecth) que no sirve para monitorizar (es un extranto para lanzar dicha aplicacion)



Posiblemente los eliminaste con otros antivirus que pasaste, asi que ya nada podemos analizar para ayudar a quienes tengan este Archivarius.A...



Esperemos que te sirva de experiencia para otra vez !!!



Dando el Tema por terminado, procedemos a cerrarlo



ms.