MI MESSENGER ENVÍA MENSAJES POR SU CUENTA

[Ray]

Buenas:



Al iniciar mi sesión de Messenger, todos mis contactos reciben un mensaje (en inglés) en el cual se les indica que hay un archivo adjunto. Por supuesto, no hay tal archivo.



Un amigo me recomendí el EliStarA; lo he pasado, pero sigue igual. ¿Algún consejo?



Gracias.

[lucl]

Pues que pases elitriip tambien, y que nos pegues el infosat.txt que tendras en C como respuesta al tema y veremos que han echo, saludos

p.d: el infosat copianoslo entero aunque elistara no haya echo nada, saludos

[Ray]

[b]Este es el informe:[/b]



Thu Mar 20 01:12:45 2008

EliStartPage v15.90 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "PPFW"="c:\archivos de programa\panda software\panda antivirus + firewall 2007\firewall\PPFW.EXE PPFW.EXE /cmd:allowpandarules /prod:titanium /mod:7 /flg:2 /ver:7.0.0"

Linea Eliminada del HOSTS --> 127.0.0.1 rad.msn.com

Linea Eliminada del HOSTS --> 127.0.0.1 a.rad.msn.com

Linea Eliminada del HOSTS --> 127.0.0.1 b.rad.msn.com

Linea Eliminada del HOSTS --> 127.0.0.1 spe.atdmt.com

Linea Eliminada del HOSTS --> 127.0.0.1 view.atdmt.com



Thu Mar 20 01:30:55 2008

EliStartPage v15.90 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3487

Nº Total de Ficheros: 43043

Nº de Ficheros Analizados: 11899

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Mar 20 01:48:19 2008

EliStartPage v15.90 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 829

Nº Total de Ficheros: 9692

Nº de Ficheros Analizados: 1973

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Thu Mar 20 01:51:41 2008

EliStartPage v15.90 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Mar 20 01:51:47 2008

EliStartPage v15.90 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Mar 20 01:51:51 2008

EliStartPage v15.90 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 886

Nº Total de Ficheros: 12106

Nº de Ficheros Analizados: 6690

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Mar 20 14:00:48 2008

EliTriIP v4.53 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 rad.msn.com

Linea Eliminada del HOSTS --> 127.0.0.1 a.rad.msn.com

Linea Eliminada del HOSTS --> 127.0.0.1 b.rad.msn.com

Linea Eliminada del HOSTS --> 127.0.0.1 spe.atdmt.com

Linea Eliminada del HOSTS --> 127.0.0.1 view.atdmt.com



Thu Mar 20 14:01:04 2008

EliTriIP v4.53 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3460

Nº Total de Ficheros: 43601

Nº de Ficheros Analizados: 11072

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Mar 20 14:15:11 2008

EliTriIP v4.53 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 886

Nº Total de Ficheros: 12106

Nº de Ficheros Analizados: 6207

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Gracias.

[msc hotline sat]

Pues lanza este AV ONLINE y posteanos el resultado



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, o indicando la utilidad a probar para solucionarlo.



saludos



ms, 20-03-2007

[msc hotline sat]

Pues pruebe este AV ONLINE y posteenos el resultado, gracias:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, o indicando la utilidad a probar para solucionarlo.



saludos



ms, 20-03-2008

[Ray]

Este es el informe:



(Por cierto, he olvidado que desde hace relativamente poco hay una cuenta en mi messenger a la que no me suena haber admitido. No le he dado más importancia, porque otras veces me ha pasado lo mismo, y no ha tenido efectos. La cuenta no se puede eliminar de ninguna forma. No sé si tendrá que ver.)





jueves, 20 de marzo de 2008 20:32:35

Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 20/03/2008

Registros en la base antivirus: 583326





Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero



Objetivo a analizar Mi PC

A:\

C:\

D:\

E:\

F:\



Estadísticas

Número de objeros analizados 58585

Virus encontrados 2

Objetos infectados 2 / 0

Objetos sospechosos 0

Duración del análisis 01:22:59



Bombre del objeto infectado Nombre del virus Última acción

C:\Archivos de programa\eMule\Temp\004.part Object is locked saltado



C:\Archivos de programa\eMule\Temp\005.part Object is locked saltado



C:\Archivos de programa\eMule\Temp\007.part Object is locked saltado



C:\Archivos de programa\eMule\Temp\010.part Object is locked saltado



C:\Archivos de programa\eMule\Temp\011.part Object is locked saltado



C:\Archivos de programa\eMule\Temp\012.part Object is locked saltado



C:\Archivos de programa\eMule\Temp\013.part Object is locked saltado



C:\Archivos de programa\eMule\Temp\014.part Object is locked saltado



C:\Archivos de programa\eMule\Temp\015.part Object is locked saltado



C:\Archivos de programa\eMule\Temp\016.part Object is locked saltado



C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\d43317c6bfccf6201fd789c5f8c9f1dePSK_NAMES Object is locked saltado



C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\d43317c6bfccf6201fd789c5f8c9f1dePSK_NAMES2 Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\sentinel\2.1\gwhashs.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\ntuser.dat Object is locked saltado



C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\PC\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\PC\Configuración local\Datos de programa\Microsoft\Messenger\jbdray@hotmail.com\SharingMetadata\Logs\Dfsr00005.log Object is locked saltado



C:\Documents and Settings\PC\Configuración local\Datos de programa\Microsoft\Messenger\jbdray@hotmail.com\SharingMetadata\pending.dat Object is locked saltado



C:\Documents and Settings\PC\Configuración local\Datos de programa\Microsoft\Messenger\jbdray@hotmail.com\SharingMetadata\Working\database_FAC8_395C_C839_1879\dfsr.db Object is locked saltado



C:\Documents and Settings\PC\Configuración local\Datos de programa\Microsoft\Messenger\jbdray@hotmail.com\SharingMetadata\Working\database_FAC8_395C_C839_1879\fsr.log Object is locked saltado



C:\Documents and Settings\PC\Configuración local\Datos de programa\Microsoft\Messenger\jbdray@hotmail.com\SharingMetadata\Working\database_FAC8_395C_C839_1879\fsrtmp.log Object is locked saltado



C:\Documents and Settings\PC\Configuración local\Datos de programa\Microsoft\Messenger\jbdray@hotmail.com\SharingMetadata\Working\database_FAC8_395C_C839_1879\tmp.edb Object is locked saltado



C:\Documents and Settings\PC\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\PC\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\PC\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\jbdray@hotmail.com\real\members.stg Object is locked saltado



C:\Documents and Settings\PC\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\jbdray@hotmail.com\shadow\members.stg Object is locked saltado



C:\Documents and Settings\PC\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\PC\Configuración local\Temp\~DF57E4.tmp Object is locked saltado



C:\Documents and Settings\PC\Configuración local\Temp\~DF59B8.tmp Object is locked saltado



C:\Documents and Settings\PC\Configuración local\Temp\~DF901B.tmp Object is locked saltado



C:\Documents and Settings\PC\Configuración local\Temp\~DF903D.tmp Object is locked saltado



C:\Documents and Settings\PC\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\PC\ntuser.dat Object is locked saltado



C:\Documents and Settings\PC\ntuser.dat.LOG Object is locked saltado



C:\Log.txt Object is locked saltado



C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado



C:\System Volume Information\_restore{D1977781-B7DB-4672-86A7-34A959D313EA}\RP709\change.log Object is locked saltado



C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado



C:\WINDOWS\SchedLgU.Txt Object is locked saltado



C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado



C:\WINDOWS\Sti_Trace.log Object is locked saltado



C:\WINDOWS\system32\baztjyxwubtt.exe Infectados: Email-Worm.Win32.Agent.g saltado



C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado



C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\default Object is locked saltado



C:\WINDOWS\system32\config\default.LOG Object is locked saltado



C:\WINDOWS\system32\config\Internet.evt Object is locked saltado



C:\WINDOWS\system32\config\SAM Object is locked saltado



C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\SECURITY Object is locked saltado



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado



C:\WINDOWS\system32\config\software Object is locked saltado



C:\WINDOWS\system32\config\software.LOG Object is locked saltado



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\system Object is locked saltado



C:\WINDOWS\system32\config\system.LOG Object is locked saltado



C:\WINDOWS\system32\h323log.txt Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado



C:\WINDOWS\wiadebug.log Object is locked saltado



C:\WINDOWS\wiaservc.log Object is locked saltado



C:\WINDOWS\WindowsUpdate.log Object is locked saltado



E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado



E:\System Volume Information\_restore{D1977781-B7DB-4672-86A7-34A959D313EA}\RP709\change.log Object is locked saltado



E:\WINDOWS\system32\qaz Infectados: Trojan-Downloader.BAT.Ftp.bw saltado







Gracias.

[lucl]

Pues tienes estos dos archivos sospechosos



C:\WINDOWS\system32\baztjyxwubtt.exe Infectados: Email-Worm.Win32.Agent.g saltado



E:\WINDOWS\system32\qaz Infectados: Trojan-Downloader.BAT.Ftp.bw saltado







asi que sigue la ruta y envianoslos para su analisis



C:\WINDOWS\system32\baztjyxwubtt.exe



E:\WINDOWS\system32\qaz



sigue las instrucciones del link para el envio



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



ademas con el boton derecho del raton los seleccionas una vez los encuentres y le das a cambiar nombre, y lo unico que has de cambiarle es la extension .exe y ponerle .VIR para que no se ponga en marcha la proxima vez que reinicies, en cuanto al añadido de mesenger aunque no lo puedas eliminar bloquealo , nos comentas tus avances saludos

[Ray]

Parece que solucionado.



Muchas gracias.

[msc hotline sat]

Digamos que solo está aparcado... pero los dos virus siguen en el ordenador, y hay que restaurar las claves de registro modificadas y otras historias que puedan haber toqueteado dichos malwares, lo cual implementaremos en nuestras utilidades, tan pronto recibamos las muestras que te pedimos nos envies. (como te indicó lucl)



Cuando las hayamos analizado, informaremos.



saludos



ms, 21-03-2008

[Ray]

Están enviados desde anoche. Espero noticias.



Muchas gracias.

[msc hotline sat]

Pues como que SATINFO está cerrada por Semana Santa hasta el proximo martes, renombra la extension de estos ficheros a .VIR :



C:\WINDOWS\system32\baztjyxwubtt.exe



E:\WINDOWS\system32\qaz



y asi estarán fuera de circulacion...



Cuidado que pueden estar ocultos, pero tenerlos, los tienes :wink:



saludos



ms, 21-03-2008

[msc hotline sat]

Recibidas las muestras, en un primer analisis parecen ser un downloader y un backdoor pero no ha dado tiempo a monitarizarlas



Como que las tiene aparcadas, no es problema urgente, mañana las implementaremos en las utilidades ELISTARA y ELITRIIP respectivamente



saludos



ms, 25-03-2008

[Ray]

Estupendo. Espero novedades, pues.



Gracias.

[msc hotline sat]

Ayer nos quedamos encallados en este:



E:\WINDOWS\system32\qaz



pues mas bien parece un script generado por alguna aplicacion que se comunica con internet via ftp...



Habrá que ver si lo utilizaba el baztjyxwubtt.exe, y una vez controlado este y eliminado aquel ya no se reproduce... ???



Sefuiremos informando



saludos



ms, 26-03-2008

[msc hotline sat]

Bueno, pues el .EXE recibido pasamos a controlarlo como BackdoorIRC.AIV en la version de hoy del ELITRIIP 4.55



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus


[quote]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]



La otra muestra QAZ, es un script que simplemente debe eliminar a mano tras haber pasado dicho ELITRIIP, y comprobar que no se le regenere mas



De todas formas este QAZ, solo, no haría nada, es un script que utiliza alguna aplicacion, y una vez controlado todo lo que hemos visto, si se regenera es que hay algo mas... que no vemos, e iríamos a por ello.



saludos



ms, 26-03-2008

[Ray]

Thu Mar 27 01:35:38 2008

EliTriIP v4.55 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "baztjyxwubtt" -> IRCBot.AIU

Servicio Eliminado "uxay6m90" -> IRCBot.AIU

Linea Eliminada del HOSTS --> 127.0.0.1 rad.msn.com

Linea Eliminada del HOSTS --> 127.0.0.1 a.rad.msn.com

Linea Eliminada del HOSTS --> 127.0.0.1 b.rad.msn.com

Linea Eliminada del HOSTS --> 127.0.0.1 spe.atdmt.com

Linea Eliminada del HOSTS --> 127.0.0.1 view.atdmt.com



Thu Mar 27 01:35:59 2008

EliTriIP v4.55 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3427

Nº Total de Ficheros: 42661

Nº de Ficheros Analizados: 10813

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Mar 27 02:05:24 2008

EliTriIP v4.55 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 886

Nº Total de Ficheros: 12105

Nº de Ficheros Analizados: 6207

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





Un saludo.

[msc hotline sat]

Pues ya se han eliminado las claves correspondientes a este virus:



EliTriIP v4.55 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "baztjyxwubtt" -> IRCBot.AIU

Servicio Eliminado "uxay6m90" -> IRCBot.AIU



pero no vemos que se haya detectado y eliminado el fichero en cuestion.



Mire que por alguna causa no haya quedado en ninguna parte un baztjyxwubtt.* con un Inicio -> Buscar y nos informa si lo encuentra. Asi mismo, si es que lo eliminó (lo cual no se decía, solo tenía que cambiarle la extension...), diganoslo para entender la razon de que el ELITRIIP no lo haya encontrado, y asi poder cerrar el Tema



saludos



ms, 27-03-2008

[Ray]

Pues lo había eliminado. Cierto que no se decía en ningún momento. Estas cosas acojonan a un novato como yo, y tiré por la vía rápida. Lo siento. Supongo que os he hecho perder el tiempo, pero no se repetirá, que uno aprende de estas cosas. En cualquier caso, muchísimas gracias.

[msc hotline sat]

Gracias por decirnoslo, es que justamente esperabamos que el ELITRIIP lo detectara y eliminara, por eso no lo eliminamos de entrada, solo lo movemos o renombramos a .VIR.



Pero ya sabiendo que lo has eliminado manualmente, se aclara la cosa y nos tranquiliza :wink:



Y ya dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabes donde estamos



saludos



ms, 27-03-2008