infectada por sniff-dasniff (SOLUCIONADO)

[elze]

Hola,



he sido infectada por una bomba de virus y malware a traves de un link supuestamente enviado por un contacto del msn (sí ya se, quién me mandaría a mi). Tengo el antivirus mcafee y detectó y eliminó mucha cosa, pero no me quedé tranquila. En uno de los escaneos me salio un tal sniff-dasniff, y no sé si lo he eliminado.



He pasado el kasperski online y me sale esto:



--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Monday, June 23, 2008

Operating System: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Monday, June 23, 2008 13:48:15

Records in database: 880580

--------------------------------------------------------------------------------



Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes



Scan area - My Computer:

C:\

D:\



Scan statistics:

Files scanned: 47483

Threat name: 2

Infected objects: 8

Suspicious objects: 0

Duration of the scan: 01:00:13





File name / Threat name / Threats count

C:\WINDOWS\wksvcsc.exe/C:\WINDOWS\wksvcsc.exe Infected: Backdoor.Win32.IRCBot.dsf 1

C:\Archivos de programa\Codec Pack de ELISOFT\divx511\fsg_4104.exe Infected: not-a-virus:AdWare.Win32.Gator.4104 1

C:\Archivos de programa\Codec Pack Elisoft v14.0\CodecPackElisoft140.exe Infected: not-a-virus:AdWare.Win32.Gator.4104 1

C:\Documents and Settings\elze\Configuración local\Archivos temporales de Internet\Content.IE5\I35251LY\oooo[1].jpg Infected: Backdoor.Win32.IRCBot.dsf 1

C:\Documents and Settings\elze\Datos de programa\Opera\Opera\profile\cache4\temporary_download\image_134453.jpg-www.myspace.com Infected: Backdoor.Win32.IRCBot.dsf 1

C:\Documents and Settings\elze\Escritorio\Incoming copia\- Si!! Codec Pack Elisoft v14.0Bueno Para Instalar Todos Los Codecs Tipo Avi Al Windows Media Player Charly updated-fixed 02-2007.zip Infected: not-a-virus:AdWare.Win32.Gator.4104 1

C:\ds.exe Infected: Backdoor.Win32.IRCBot.dsf 1

C:\WINDOWS\wksvcsc.exe Infected: Backdoor.Win32.IRCBot.dsf 1



The selected area was scanned.



que hago? es muy grave?



muchísimas gracias!!

[flacoroo]

bajate estos archivos, deshabilitas restaurar sistemas, los ejecutas y cuando diga explorar le das click y deja que termine; despues nos pegas el resultado de C:infosat.txt



[url=http://www.zonavirus.com/descargas/elistara.asp]Descargar Elistara[/url]

[url=http://www.zonavirus.com/descargas/elitriip.asp]Descargar ElitriIP[/url]

[url=http://www.zonavirus.com/descargas/elinotif.asp]Descargar Elinotiff[/url]

[elze]

El Elinotif me dice que no es una aplicación de WIN32 válida. De las otras dos, he obtenido lo siguiente:





Tue Jun 24 02:03:17 2008

EliStartPage v16.56 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jun 24 02:03:46 2008

EliStartPage v16.56 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Codec Pack de ELISOFT\divx511\FSG_4104.EXE --> Eliminado, Gator Gain

C:\Archivos de programa\DellSupport\BrowserPlugins\LICVALIDATE.DLL --> Eliminado, StartPage-CWZ

C:\Archivos de programa\Roxio\Drag-to-Disc\DLAUNINW.EXE --> Eliminado, Puper-Sb

C:\Archivos de programa\Roxio\VideoCore 9\VCPTRANSANIMATED3D.DLL --> Eliminado, AdClicker.BJ(BHO)



Nº Total de Directorios: 4295

Nº Total de Ficheros: 45746

Nº de Ficheros Analizados: 16887

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4



Tue Jun 24 02:17:38 2008

EliTriIP v4.86 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\WKSVCSC.EXE.Muestra EliTriIP v4.86

a "virus@satinfo.es". Gracias.

C:\WINDOWS\WKSVCSC.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Windows UDP Control Services"="wksvcsc.exe"

No detectado SP3 de Windows XP



Tue Jun 24 02:17:50 2008

EliTriIP v4.86 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4295

Nº Total de Ficheros: 45754

Nº de Ficheros Analizados: 13722

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[flacoroo]

hay una muestras que queremos que nos envies a esta direccion zonavirus@satinfo.es comprimida y con la contraseña virus...solo sigue la ruta que se te indica....y elinotif solo es complemento del Elistara para eliminar virus....dinos tambien como va tu compu....



C:\Muestras\WKSVCSC.EXE.Muestra

[elze]

He enviado el archivo que solicitásteis... no entendí muy bien lo de la contraseña virus, así que lo he puesto en el asunto.



Mi ordenador va bien, solamente que de vez en cuando suena un pitido un poco extraño y que me ha cambiado la página de inicio del explorer, que no tenía ninguna, pero después de eliminar cookies y archivos temporales ya vuelve a ser normal, aunque me he dado cuenta de casualidad porque uso normalmente opera.



Ya me diréis algo, de nuevo muchas gracias.

[lucl]

Lo de la contraseña era que lo encriptaras con winrar o winzip y le pusieras contraseña VIRUS, aclara si le has puesto algo o no, para que mañana cuando lo analicen lo tengan en cuenta, saludos

[elze]

Uuups, pues no lo he encriptado, pero en el mail sí que he puesto mi nombre de usuario y el tema. Si debo enviarlo de nuevo, avisadme, por favor.



Mil gracias.

[lucl]

Si , envialo de nuevo porque los servidores pueden interceptarlo y puede no llegar, gracias saludos

[msc hotline sat]

Y aparte del wksvcsc.exe, aprovecha para enviarnos tambien muestra de:



C:\Archivos de programa\Codec Pack de ELISOFT\divx511\fsg_4104.exe

C:\Archivos de programa\Codec Pack Elisoft v14.0\CodecPackElisoft140.exe

C:\Documents and Settings\elze\Configuración local\Archivos temporales de Internet\Content.IE5\I35251LY\oooo[1].jpg

C:\Documents and Settings\elze\Datos de programa\Opera\Opera\profile\cache4\temporary_download\image_134453.jpg-www.myspace.com

C:\Documents and Settings\elze\Escritorio\Incoming copia\- Si!! Codec Pack Elisoft v14.0Bueno Para Instalar Todos Los Codecs Tipo Avi Al Windows Media Player Charly updated-fixed 02-2007.zip Infected

C:\ds.exe



y recuerda:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 25-06-2008

[elze]

Bueno, ahora os mando el mail, pero hay dos archivos que no encuentro (he puesto lo de mostrar archivos ocultos y nada). Son estos:



C:\Archivos de programa\Codec Pack de ELISOFT\divx511\fsg_4104.exe



C:\Documents and Settings\elze\Configuración local\Archivos temporales de Internet\Content.IE5\I35251LY\oooo[1].jpg



Gracias!

[msc hotline sat]

Si ya no los tienes es que ya los ha borrado alguna utilidad o antibichos, mejor !



Veremos los que nos envias y tras analizarlos, informaremos



saludos



ms, 26-06-2008

[elze]

os lo he enviado todo menos lo del codec pack de elisoft... los archivos se ve que son demasiado grandes y mi cuenta de hotmail no me permite enviaroslos.



de todos modos, esos archivos los tengo desde hace un porrón de tiempo, y nunca me habían dado ningún problema.... no sé



Ya me diréis de los otros 3 que os envié, a saber:



WKSVCSC.EXE.Muestra EliTriIP v4

C:\Documents and Settings\elze\Datos de programa\Opera\Opera\profile\cache4\temporary_download\image_134453.jpg-www.myspace.com

C:\ds.exe



Como siempre, GRACIAS

[msc hotline sat]

Analizadas las muestras recibidas, ya son controladas como SDBOT por la version actual del ELITRIIP.



Siempre se ha de probar la ultima version disponible !!!



Prueba la actual 4.88 y posteanos el resultado, gracias



saludos



ms, 27-06-2008

[elze]

Aquí va:





Tue Jun 24 02:03:17 2008

EliStartPage v16.56 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jun 24 02:03:46 2008

EliStartPage v16.56 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Codec Pack de ELISOFT\divx511\FSG_4104.EXE --> Eliminado, Gator Gain

C:\Archivos de programa\DellSupport\BrowserPlugins\LICVALIDATE.DLL --> Eliminado, StartPage-CWZ

C:\Archivos de programa\Roxio\Drag-to-Disc\DLAUNINW.EXE --> Eliminado, Puper-Sb

C:\Archivos de programa\Roxio\VideoCore 9\VCPTRANSANIMATED3D.DLL --> Eliminado, AdClicker.BJ(BHO)



Nº Total de Directorios: 4295

Nº Total de Ficheros: 45746

Nº de Ficheros Analizados: 16887

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4



Tue Jun 24 02:17:38 2008

EliTriIP v4.86 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\WKSVCSC.EXE.Muestra EliTriIP v4.86

a "virus@satinfo.es". Gracias.

C:\WINDOWS\WKSVCSC.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Windows UDP Control Services"="wksvcsc.exe"

No detectado SP3 de Windows XP



Tue Jun 24 02:17:50 2008

EliTriIP v4.86 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4295

Nº Total de Ficheros: 45754

Nº de Ficheros Analizados: 13722

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Jun 27 16:48:34 2008

EliTriIP v4.88 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Fri Jun 27 16:48:43 2008

EliTriIP v4.88 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\ds.exe --> Eliminado, SdBot.ERK

C:\Documents and Settings\elze\Datos de programa\Opera\Opera\profile\cache4\temporary_download\image_134453.jpg-www.myspace.com --> Eliminado, SdBot.ERK

C:\Muestras\WKSVCSC.EXE.Muestra EliTriIP v4.86 --> Eliminado, SdBot.ERK



Nº Total de Directorios: 4315

Nº Total de Ficheros: 50603

Nº de Ficheros Analizados: 17621

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

[lucl]

Pues parece que ya esta todo limpio confirmanoslo por favor, gracias saludos

[msc hotline sat]

Efectivamente, detectados y eliminados !



Fri Jun 27 16:48:43 2008

EliTriIP v4.88 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\ds.exe --> Eliminado, SdBot.ERK

C:\Documents and Settings\elze\Datos de programa\Opera\Opera\profile\cache4\temporary_download\image_134453.jpg-www.myspace.com --> Eliminado, SdBot.ERK

C:\Muestras\WKSVCSC.EXE.Muestra EliTriIP v4.86 --> Eliminado, SdBot.ERK





Como indica lucl, tras reiniciar dinos si persiste algun problema o podemos dar por solucionado el Tema, gracias



saludos



ms, 27-06-2008

[elze]

ok, muchas gracias, todo va perfectamente ya.



damos por cerrado el tema???



un saludo a todos!

[lucl]

Efectivamente , como ya esta solucionado cerramos el tema, vuelve cuando quieras, saludos