LISTADO DE ARCHIVOS INFECTADOS (SOLUCIONADO)

[nemesys]

Hola, cuento un poquito de mi antes de empezar con el tema... soy gonzalo, vivo en buenos aires y tengo una sala de internet... desde principios del año 2008 empece a tener problemas con disferentes virus, primero con los de pen drive(fun.xls.exe y temp2.exe) los mismos creaban archivos autorun.inf y se ejecutaban al hacer doble clic... pan comido, los saque enseguida, pero despues de rehacer la sala completa... luego fue el chenzi.exe el virus probocaba el cuelgue de la PC... acto seguido y este es mi nemesis... el famosisimo en internet... wmsetup.exe, este se guarda en la carpeta de temporales, no se puede borrar y descarga de internet una lista bastante jodida de archivos, desde una pagina de internet que provee soporte a usuarios de internet para guardar archivos(segun su politica ellos no tienen nada que ver con el mal uso de sus servidores...) y los baja como imagenes .gif para despues convertirlos en dll y exe... bueno ahora luego de hacer la sala 3 veces, me encontre con la solucion de instalar todos los programas offline y quitar el acceso a iexplorer.exe por el de firefox... el nuevo problema es este archivo, se llama mrsingdk.exe este por lo visto ejecuta el dr watson y empieza a descargar cosas de internet o algo parecido... el meollo del asunto empieza con que despues de eso, vuelve el wmsetup.exe... ahora les dejo una listita con los archivos que se crean... todos son de %systemroot%\system32\... les dejo la lista por si me pueden ayudar por que ningun antivirus me lo saca del todo...



agxyaloe.exe - virus/MalWare/SpyWare

aitlasys.exe - virus/MalWare/SpyWare

arjrgler.dll - virus/MalWare/SpyWare

asfjthj.dll - virus/MalWare/SpyWare

cgsqatyu.sys - virus/MalWare/SpyWare

cedafb.dll - virus/MalWare/SpyWare

dazfajke.exe - virus/MalWare/SpyWare

ddserh.dll - virus/MalWare/SpyWare

dsdyapaw.exe - virus/MalWare/SpyWare

dtzfajke.sys - sospechoso

erjxakin.sys - virus/MalWare/SpyWare

ergfwe.dll - virus/MalWare/SpyWare

fassaplo.sys - virus/MalWare/SpyWare

fsrgeb.dll - virus/MalWare/SpyWare

ghwxattb.exe - virus/MalWare/SpyWare

ghjyer.dll - virus/MalWare/SpyWare

gjbhr.dll - virus/MalWare/SpyWare

gpsgajba.sys - virus/MalWare/SpyWare

hgfhk.cfg - virus/MalWare/SpyWare

hgfhk.dll - virus/MalWare/SpyWare

hjk.dll - virus/MalWare/SpyWare

hmsdvf.dll - virus/MalWare/SpyWare

igxyaloe.sys - sospechoso

ijdyapaw.dll - virus/MalWare/SpyWare

isdsasrv.exe - virus/MalWare/SpyWare

ismhasrv.exe - virus/MalWare/SpyWare

jkjkll.dll - virus/MalWare/SpyWare

lariytrz.cfg - sospechoso

lariytrz.dll - virus/MalWare/SpyWare

lassaplo.dll - virus/MalWare/SpyWare

lijzclit.dll - virus/MalWare/SpyWare (bloquea deep freeze)

lkssaplo.exe - virus/MalWare/SpyWare

lofsdjbo.dll - virus/MalWare/SpyWare

lojxadwd.exe - virus/MalWare/SpyWare (bloquea deep freeze)

lpmxajkl.exe - virus/MalWare/SpyWare

lpsgajba.exe - virus/MalWare/SpyWare

mkjraler.exe - virus/MalWare/SpyWare

mkjsakaq.exe - virus/MalWare/SpyWare

mndshsrv.dll - sospechoso

mnmhgsrv.dll - virus/MalWare/SpyWare

nhmxdjkl.dll - virus/MalWare/SpyWare

njritc.cfg - sospechoso

njritc.dll - virus/MalWare/SpyWare

onjzalit.exe - virus/MalWare/SpyWare

oqrthc.cfg - sospechoso

oqrthc.dll - virus/MalWare/SpyWare

oswxdttb.dll - sospechoso

ozfyebyt.dll - virus/MalWare/SpyWare

pedadt.dll - sospechoso

posqatyu.exe - virus/MalWare/SpyWare

pqzfajke.dll - virus/MalWare/SpyWare

pusqakol.exe - virus/MalWare/SpyWare

pzdyapaw.sys - sospechoso

rijxbkin.dll - virus/MalWare/SpyWare

rnmxajkl.sys - virus/MalWare/SpyWare

s2da2f323.dll- sospechoso

sbsqakol.sys - sospechoso

sdjsakaq.sys - virus/MalWare/SpyWare(reedicion del mismo)

simyaapi.exe - virus/MalWare/SpyWare

smmhbsrv.sys - virus/MalWare/SpyWare

snfybbyt.sys - virus/MalWare/SpyWare

spjhahlp.exe - sospechoso

spmybapi.sys - virus/MalWare/SpyWare

stjxakin.exe - virus/MalWare/SpyWare

tdggrz.dll - virus/MalWare/SpyWare

tfsdmz.dll - virus/MalWare/SpyWare

tisqatyu.dll - virus/MalWare/SpyWare

tjfyabyt.exe - virus/MalWare/SpyWare

tpfsajbo.exe - virus/MalWare/SpyWare

tuker.dll - virus/MalWare/SpyWare

tysqbkol.dll - sospechoso

ujkwet.dll - virus/MalWare/SpyWare

wyrsdj.dll - sospechoso

xfztbmsn.sys - virus/MalWare/SpyWare

xzcsbhlp.sys - virus/MalWare/SpyWare

ysjxbdwd.sys - virus/MalWare/SpyWare

yxcschlp.dll - virus/MalWare/SpyWare

zaztamsn.exe - virus/MalWare/SpyWare

yzztkmsn.dll - virus/MalWare/SpyWare

zdbdb.cfg - sospechoso

zgrjdx.dll - virus/MalWare/SpyWare

zptlcsys.dll - virus/MalWare/SpyWare

zxcsahlp.exe - virus/MalWare/SpyWare



* marco como sospechosos a los que son parte de virus,spyware, malware, etc y a los que no se han clasificado todavia

[msc hotline sat]

Pues se desconoce dicho efecto en MRSINGDK.EXE, como se ratifica en:



http://spywarefiles.prevx.com/RRHCDD044847215/MRSINGDK.EXE.html



Pero el nombre no garantiza su contenido, asi que envienos dicho fichero y lo analizaremos



Para ello recuerde:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y haga lo mismo con WMSETUP.EXE y CHENZI.EXE y tras analizarlos informaremos.



Independientemente pruebe el ELISTARA a ver si por cadenas identifica alguno de los malwares indicados:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



y como que veo que es nuevo en este foro y habla de virus de pendrive y de que tiene un cyber, entiendo que quizás no conoce nuestra vacuna contra propagacion de virus de pendrive, el ELIPEN, pruebela en todos los ordenadores y en todos los pendrives que pueda.



En los ordenadores se cambiarán las politicas de windows, haciendo que no se ejecute el AUTORUN.INF de otras unidades que no sean lectoras de CD/DVD, o a voluntad de las que quiera, y de los pendrives y unidades procesadas, se impedirá crear dicho fichero y se bloqueará si existiera.


[quote="para DESCARGAR el ELIPEN, msc"] http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 29-06-2008

[nemesys]

muchas gracias por la respuesta, voy a probar las recomendaciones que me dieron y tratar de copiar los archivos, con respecto al chenzi ya lo erradique, y no tengo como buscarlo... por el momento ese no es mi problema. en cuanto pueda les mando el archivo... muchas gracias de nuevo ^^

[nemesys]

Sun Jun 29 12:37:55 2008

EliStartPage v16.59 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Jun 29 12:38:20 2008

EliStartPage v16.59 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\spool\drivers\w32x86\3\HPZ3A054.DLL --> Eliminado, MoviePass

C:\WINDOWS\system32\spool\drivers\w32x86\hpdeskjet_f300_seriedfce\HPZ3A054.DLL --> Eliminado, MoviePass

C:\System Volume Information\_restore{81BABDBA-49ED-4E0C-9BEE-CA8FA22B0F92}\RP9\A0001566.DLL --> Eliminado, MoviePass

C:\System Volume Information\_restore{81BABDBA-49ED-4E0C-9BEE-CA8FA22B0F92}\RP9\A0001567.DLL --> Eliminado, MoviePass



Nº Total de Directorios: 1082

Nº Total de Ficheros: 14652

Nº de Ficheros Analizados: 6854

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4



Sun Jun 29 12:41:20 2008

EliStartPage v16.59 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Jun 29 12:41:25 2008

EliStartPage v16.59 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 2532

Nº Total de Ficheros: 72027

Nº de Ficheros Analizados: 10977

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Jun 29 12:43:09 2008

EliStartPage v16.59 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\

G:\System Volume Information\_restore{81BABDBA-49ED-4E0C-9BEE-CA8FA22B0F92}\RP8\A0001547.EXE --> Eliminado, Tool-HideWindow



Nº Total de Directorios: 903

Nº Total de Ficheros: 4066

Nº de Ficheros Analizados: 535

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Sun Jun 29 12:43:35 2008

EliStartPage v16.59 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\



Nº Total de Directorios: 903

Nº Total de Ficheros: 4065

Nº de Ficheros Analizados: 534

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



este es el contenido del fichero para la maquina servidor... en cuanto vuelva el susodicho posteo el siguiente fichero...



edit: en este momento estoy descargando el sp3 desde la pagina de microsoft... mi pregunta es: ¿es aconsejable o es mejos desde windows update nativo de windows?

edit: deshabilite la resturacion del sistema desde las propiedades de windows.

[lucl]

Creo que sera lo mismo que lo hagas de una pagina de otra, aunque lo suyo es que lances un windows update desde tu pc . Y vacuna tus pcs con elipen, es efectivo te lo aseguro. Confirmanos que enviaste los archivos solicitados pues mañana se analizaran y te daremos la herramienta necesaria, saludos

[nemesys]

ok, se los agradeceria, por q la sala esta que apesta... y hace 2 dias que la hice completa... 20 maquinas no es mucho y menos si se hace el Norton Ghost, pero el caso esta en la perdida de tiempo y la comididad para los clientes, en la brevedad voy a postiar un screen de los procesos que se estan ejecutando...



edit: esta noche voy a instalar el elipen, ya la probe y funciona barbaro... muy buena herramienta

[nemesys]

Termine la jornada laboral bastante caliente, por que las maquinas no responden como deberian, entonces empece a instalar en todas las maquinas el elipen... charlando con mi compañero mientras haciamos el trabajo, surgio la teoria: "No será que microsoft se esta autosaboteando para sacar de una vez por todas XP del mercado?" bueno, me puse a probar las paginas de windows, ya que como todos saben, es el lider del mercado para los usuarios standares(si pudiera instalaria linux, pero sumaria mas problemas de los que tengo con mis clientes y obviamente perderia publico al pricipio)... bueno abri la pagina de hotmail sin cambios en la carpeta temporales, abri el msn y ampoco habia cambios... mi teoria se fue por el caño en ese momento... hasta que aparecio en el administrador de tareas el rundll.exe(ejecutado por el usuario del momento) y tengo entendido que eso solamente se carga como usuario system... bueno... al cerrar el msn note que en vez de quitar archivos, agrego uno... copie el archivo para enviarcelos,ya que contenia un poco de codigo que me parecio raro... 30 segundos despues, se agrego el wmsetup.exe(mi eterno carma)... ahora... mi pregunta esta en si mi version de msn es la que esta infectada... no quiero esconfiar de microsoft... pero ultimamente windows deja mucho que decear... en la brevedad mando el archivo asi me dan una manito y protegemos a los demas de este virus que la verdad me ha dejado varias noches sin dormir...

[msc hotline sat]

Pues no, su hipotesis de que Microsoft quiere sacar los XP del mercado es erronea ya que ha ampliado hasta el 2014 su soporte, y es porque se ha dado cuenta del fracaso del VISTA, el cual, como en su día la serie 4 del MSDOS o el Vindows ME fueron igualmente fracasos, mientras que el XP ha sido (y es) un buen sistema, digno sucesor del W98, y que con el actual SP3 se ha visto mejorado en prestaciones y seguridad .



Veremos las muestras que nos envia (especialmente el dichoso wmsetup.exe) y obraremos en consecuencia, de lo cual informaremos



saludos



ms, 30-06-2008

[nemesys]

el archivo host de una pc infectada... no se si les será util... pero en fin... son las 3;30 de la madrugada y ya llevo 32 horas sin dormir...

[msc hotline sat]

Este HOSTS es el típico generado por el SPYBOT S&D, menos la primera entrada, 127.0.0.1 localhost

las demas pueden eliminarse pues incordian en los logs !



saludos



ms, 30-06-2008

[nemesys]

Si señor... elimine todos menos el primero... bueno recien termine de pasar el ESET NOD32 3.0

El VIrus que detecta es el NOD32/Alman.NAB y variantes del mismo. al parecer limpio una de las PCs... voy a ver cuanto dura... un malboro box mas tarde y todavia no decido si cenar o desayunar..

[msc hotline sat]

Pues sobre este que has eliminado, ahí tienes mals informacion:



http://www.vsantivirus.com/alman-nab.htm



Y ya dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 30-06-2008

[nemesys]

en realidad no... no quito el virus... crei que si, pero al reiniciar aparece nuevamente...





edit: de igual manera me ayudaron un monton... voy a seguir intentando sacar este virus... a ver que sale... salu2 y gracias

[msc hotline sat]

Ha sido muy importante localizar el downloader y eliminarlo, y ahora queda eliminar los que hubiera descargado, pero ya muerta la madre del cordero... se acabarán las descargas de troyanos.



Revisa la informacion al respecto de vsantivirus...



Y con ello damos este Tema por cerrado, pero si persiste algun problema, postea nuevo Tema con lo que sea.



saludos



ms, 30-06-2008

[msc hotline sat]

Recibidos postcierre fichero muestra para analizar.



Se implementa su control y eliminacion en el ELISTARA DE hoy 16.60



saludos



ms, 30-06-2008