El win32.Agent.BU me tiene hasta de los bigotes(SOLUCIONADO)

[Richo150]

Se me reinicia la computadora cada vez que conecto a la internet y no me deja hacer nada.....creo que es por un usb pendisk que le conecte para copiar un antivirus ya que ese mismo usb pendisk lo conecte a otra computadora y le sucedio lo mismo. Es decir, las dos computadoras de la casa tienen el mismo problema, no pueden conectarse a la internet porque se reinician.



Le pase el elistar y el avg y nada pero el spybot me detecta en ambas computadoras los que dice

win32.Agent.BU

Microsoft.WindowsSecurityCentre Antivirus Overri....



El spybot los arreglas los problemas pero al reiniciar la computadora y volver a pasasr el spybot, aun estan ahi...



Grrrrrrrrr.... que hago?...alguien por aqui...por favor gracias de antemano

[msc hotline sat]

Pues envianos el fichero donde lo detecta, lo analizaremos e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Aparte, ya que dices que crees que es un virus que se propaga por pendrive, vacuna ordenador y pendrives con el ELIPEN:



http://www.zonavirus.com/descargas/elipen.asp



Y por si se trata de algo nuevo desconocido que convenga pedir muetsras de otros ficheros acompañantes, que lo regeneren, ya que dices que es el caso, prueba el SPROCES y enviando el SPROCLOG.TXT que genera:





[b]SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp





Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar



saludos



ms, 10-07-2008

[Richo150]

ok...vere como localizo por el file o carpeta afectada pormedio de spybot que es el unico que me lo detecta.



Gracias y ya enviare muestras...

[msc hotline sat]

Para saber donde está y los ficheros que tienes infectados, tambien puedes lanzar este AV ONLINE:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y escojer la opcion de MIPC para escanearlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.



saludos



ms, 10-07-2008

[Richo150]

Aqui esta el logo.....



Sun Jul 10 20:16:58 2005

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v7.0.5730.13) 0



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\PROGRAM FILES\COMMON FILES\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE

C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE

C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGUPSVC.EXE

C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL$WHATSUP\BINN\SQLSERVR.EXE

C:\PROGRAM FILES\NVIDIA CORPORATION\NTUNE\NTUNESERVICE.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE

C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\SPYBOTSD.EXE

C:\DOCUMENTS AND SETTINGS\RICARDO\DESKTOP\SPROCES.EXE

C:\DOCUMENTS AND SETTINGS\RICARDO\DESKTOP\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yahoo.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://au.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://au.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://au.search.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://au.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://au.search.yahoo.com

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

R3 - URLSearchHook: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: ActivateBand Class - {4C7B6DE1-99A4-4CF1-8B44-68889900E1D0} - C:\Program Files\Telstra\Toolbar\bpumToolBand.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: UrlHelper Class - {6D023EBF-70B8-45A6-9ED5-556515FA0FE4} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: BigPond Toolbar - {7A431EC4-CC21-4DF7-9DB1-A2CF74C4CC98} - C:\Program Files\Telstra\Toolbar\bpumToolBand.dll

O3 - Toolbar: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Policies\Explorer\Run: [zsmscc] rundll32.exe C:\WINDOWS\system32\zsmscc071001.dll mymain

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader1005.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1149476127791

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab

O16 - DPF: {CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} (Java Plug-in 1.5.0_08) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_08-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Program Files\Common Files\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: C03F9A54 - Unknown owner - C:\WINDOWS\system32\FC0ADDF0.EXE

**O23 - Service: DCOM Server Process Launcher (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

**O23 - Service: Remote Procedure Call (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Creative SoundFont Management Device Driver (ctsfm2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\DRIVERS\ctsfm2k.sys

O23 - Service: DigiCellDriver - Your Corporation - C:\Program Files\MSI\DigiCell\NTGLM7X.sys

**O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Microsoft Corp., Veritas Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Speedstream Ethernet USB Adapter (ENETHUSB) - Efficient Networks, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\enethusb.sys

O23 - Service: GEARAspiWDM - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\Drivers\GEARAspiWDM.sys

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: NVR0Dev - NVidia Corp. - C:\WINDOWS\nvoclock.sys

O23 - Service: Creative OS Services Driver (ossrv) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ctoss2k.sys

O23 - Service: Sound Blaster Live! 24-bit (P17) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\P17.sys

O23 - Service: PCAlertDriver - MICRO-STAR INT'L CO., LTD. - C:\Program Files\MSI\Core Center\NTGLM7X.sys

O23 - Service: Direct Parallel Link Driver (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: RushTopDevice - MICRO-STAR INT'L CO., LTD. - C:\Program Files\MSI\Core Center\RushTop.sys

O23 - Service: Sony Ericsson Device 039 Driver driver (WDM) (SE27bus) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE27bus.sys

O23 - Service: smserial - Motorola Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\smserial.sys

*O23 - Service: Terminal Services (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys



31 Servicios.

9 de Carga Automatica.

19 de Carga Manual.

3 Deshabilitados.

[Richo150]

Una nota importante es que la computadora se retrocedio al 5 de junio de 2005.



No puedo darle restore a una fecha mas actual ya que el virus cambio muchas entradas...intente crear un fecha actualizada pero igual, la fecha del calendario vuelve al 2005.



Grrrr.... estoy pasando algunos antivirus que tienen en la zona de descarga y espero que alguno funsiones.



Gracias por la ayuda

[msc hotline sat]

Pues enviarnos este fichero para analizar:



C:\WINDOWS\system32\zsmscc071001.dll





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y lo de la fecha mas bien puede ser agotamiento de la pila del CMOS... revisela



saludos



ms, 10-07-2008

[Richo150]

No tiene opcion zip....tiene rar or zip juntos pero en ese sentido no tiene como ponerle una clave..se puede enviar en rar y ponerle la clave?



Lo de las baterias tendria que ponerle una nueva...lo raro es que las dos computadoras se retrocedieron hacia el 2005 al nomas ser detectado el virus....intentare cambiando las bateris

[Richo150]

ya lo comprimi y le puse clave.....es que no habia leido la forma de como hacerlo..pero ya se los envio en un par de horas..fijandome bien las dos computadoras infestadas del virus tienen el mismo file ese.

[msc hotline sat]

Pues mañana en SATINFO lo analizaremos, pero si quieres puedes adelantar acontecimientos subiendolo al VirusTotal: www,virustotal.com/es y pos posteas el informe resultante, y en funcion de los antivirus que detecten dicho fichero, si es que es el caso, provisionalmente renombrariamos la extension de dicho fihero a .VIR para que no se cargara a partir del proximo reinicio.



saludos



ms, 10-07-2008





NOTA: Buscando en Google vemos que podría ser http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_GENETIK.KQ&VSect=T ms.

[Richo150]

Ya lo envie por email



aqui el resultado de virustotal.es...no se si debo poner todo el logo...aqui va



Análisis del archivo zsmscc071001.zip recibido el 10.07.2008 22:34:48 (CET)

Estado actual: análisis terminado

Resultado: 4/33 (12.13%)

Compactar

Imprimir resultados



Email:







Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.7.11.0 2008.07.10 -

AntiVir 7.8.0.64 2008.07.10 -

Authentium 5.1.0.4 2008.07.10 -

Avast 4.8.1195.0 2008.07.09 -

AVG 7.5.0.516 2008.07.10 -

BitDefender 7.2 2008.07.10 -

CAT-QuickHeal 9.50 2008.07.10 -

ClamAV 0.93.1 2008.07.10 -

DrWeb 4.44.0.09170 2008.07.10 -

eSafe 7.0.17.0 2008.07.10 -

eTrust-Vet 31.6.5943 2008.07.10 -

Ewido 4.0 2008.07.10 -

F-Prot 4.4.4.56 2008.07.10 -

F-Secure 7.60.13501.0 2008.07.10

Fortinet 3.14.0.0 2008.07.10 W32/Agent.CHA!tr

GData 2.0.7306.1023 2008.07.10 -

Ikarus T3.1.1.26.0 2008.07.10 -

Kaspersky 7.0.0.125 2008.07.10 -

McAfee 5336 2008.07.10 -

Microsoft 1.3704 2008.07.10 -

NOD32v2 3259 2008.07.10 error - password-protected file

Norman 5.80.02 2008.07.10 -

Panda 9.0.0.4 2008.07.10 -

Prevx1 V2 2008.07.10 -

Rising 20.52.32.00 2008.07.10 -

Sophos 4.31.0 2008.07.10 -

Sunbelt 3.1.1509.1 2008.07.04 <Encrypted Archive>

Symantec 10 2008.07.10 -

TheHacker 6.2.96.374 2008.07.07 -

TrendMicro 8.700.0.1004 2008.07.10 -

VBA32 3.12.6.9 2008.07.10 -

VirusBuster 4.5.11.0 2008.07.10 -

Webwasher-Gateway 6.6.2 2008.07.10 -

Información adicional

Tamano archivo: 14107 bytes

MD5...: 579e7a7acd533f29e5be6c6df9c0f47f

SHA1..: c552137b7b4fb87797f2dbf930cec81d6ac08395

SHA256: e178b0ca9d285faa189a9642e9d2941368478bde340bd8ba4ef1d10bb0b56eb8

SHA512: ae4b7a01df544e5793dd77c35fcff7bd1d1b11d4c40984a73418f5890f03867d

3defb7880bbef6d1c7c20766df29a075cbdcf847407a6b54f8c0c6508407caa9

PEiD..: -

PEInfo: -

[lucl]

Pues ya mañana te diran algo sobre el envio estate atento al post, saludos

[msc hotline sat]

No habrás subido al Virus Total el RAR encriptado ???



Muy raro que casi ninguno lo detecte y solo Fortinet le encuentre infectado (posible falso positivo) y otros dos como



NOD32v2 3259 2008.07.10 error - password-protected file



Sunbelt 3.1.1509.1 2008.07.04 <Encrypted Archive>



Si antes de que lo analicemos puedes comprobarlo, si es que has subido el encriptado, repite el analisis con el normal, gracias



saludos



ms, 11-07-2008

[msc hotline sat]

Como te decía, seguramente enviaste el encriptado, pues ya lo hemos recibido y al analizarlo nos da 31/33 antivirus que lo detectan:


[quote="VirusTotal"]File zsmscc071001.dll received on 07.11.2008 09:35:22 (CET)

Current status: finished



Result: 31/33 (93.94%)

Compact Print results

Antivirus Version Last Update Result

AhnLab-V3 2008.7.11.0 2008.07.10 Win-Trojan/Downloader.25600.CH

AntiVir 7.8.0.64 2008.07.11 TR/Agent.cha.1

Authentium 5.1.0.4 2008.07.10 W32/Trojan2.JKN

Avast 4.8.1195.0 2008.07.11 Win32:Agent-LMW

AVG 7.5.0.516 2008.07.10 Generic8.TUR

BitDefender 7.2 2008.07.11 Trojan.PWS.OnlineGames.NYC

CAT-QuickHeal 9.50 2008.07.10 Trojan.Agent.cha

ClamAV 0.93.1 2008.07.11 -

DrWeb 4.44.0.09170 2008.07.10 Trojan.PWS.Gamania.6747

eSafe 7.0.17.0 2008.07.10 Win32.Agent.cha

eTrust-Vet 31.6.5946 2008.07.11 Win32/Hitpop.CY

Ewido 4.0 2008.07.10 Downloader.Agent.czu

F-Prot 4.4.4.56 2008.07.10 W32/Trojan2.JKN

F-Secure 7.60.13501.0 2008.07.10 Trojan.Win32.Agent.cha

Fortinet 3.14.0.0 2008.07.11 W32/Agent.CHA!tr

GData 2.0.7306.1023 2008.07.11 Trojan.Win32.Agent.cha

Ikarus T3.1.1.26.0 2008.07.11 Trojan-Downloader.Win32.Delf.ctl

Kaspersky 7.0.0.125 2008.07.11 Trojan.Win32.Agent.cha

McAfee 5336 2008.07.10 Generic.dx

Microsoft 1.3704 2008.07.11 Backdoor:Win32/Hitapop.A.dll

NOD32v2 3260 2008.07.10 Win32/Spy.Delf.NIO

Norman 5.80.02 2008.07.10 W32/Agent.CVFW

Panda 9.0.0.4 2008.07.10 W32/QQPass.AXM.worm

Prevx1 V2 2008.07.11 Fraudulent Security Program

Rising 20.52.40.00 2008.07.11 Trojan.Win32.Agent.zdh

Sophos 4.31.0 2008.07.11 Mal/Generic-A

Sunbelt 3.1.1509.1 2008.07.04 Trojan.Agent.cha.1

Symantec 10 2008.07.11 W32.Hitapop

TheHacker 6.2.96.376 2008.07.10 -

TrendMicro 8.700.0.1004 2008.07.11 TROJ_AGENT.ACYU

VBA32 3.12.6.9 2008.07.11 Trojan.Win32.Agent.cha

VirusBuster 4.5.11.0 2008.07.10 Trojan.Agent.CXPX

Webwasher-Gateway 6.6.2 2008.07.11 Trojan.Agent.cha.1 [/quote]



Ya estamos monitorizandolo y lo implementaremos en el ELISTARA 16.69 de hoy, como Trojan.Agent,BHA.



Esta tarde lo descargas y tras probarlo nos informas del resultado, gracias:


[quote][b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 11-07-2008

[Richo150]

Tenes razon, habia subido el file comprimido de rar pero fue por miedo a no contagiar la ultima computadorcita vieja que me funsiona en la internet y que ya ni la utilizaba y la mantenia en el garage, pero gracias que ya ubicaron el trojano maldito ese.



Cambie tambien las baterias de el motherboard pero aun asi siguen los calendarios de las 2 computadoras contagiadas retornandose hacia el 2005. Lo hice en Safe Mode y lo mismo, busque crear un system restore con el 2008 y siempre retrocede al 2005. Bueno, primero debo eliminar el troyano ese al nomas salir la nueva vercion de elistar, despues vere lo del calendario, creo que con la limpieza del trojano a lo menor libera los registros.



Gracias por las rapidas respuestas.

[Richo150]

Aqui esta el logo que dio de resultado...le dare un nuevo scaneo con los antivirus, spybot y vere si no detecta mas el trojano.

Sigue el problema del calendario retrocedido hacia el 2005 en las 2 computadoras...a pesar que ambas dieron casi el mismo resultado de dos ficheros infectados y eliminados..pero debo darle un nuevo scaneo para ver si no detecta mas...y si todo marcha bien les aviso manana para asi dar por cerrado el tema.



Aqui les dejo el logo ultimo...pendiente el de manana.







Mon Jul 11 23:07:52 2005

EliStartPage v16.69 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jul 11 23:07:58 2005

EliStartPage v16.69 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Ricardo\Application Data\Yahoo!\Mail\attach\ZSMSCC071001.DLL --> Eliminado, Trojan.Agent.CHA

C:\WINDOWS\system32\ZSMSCC071001.DLL --> Eliminado, Trojan.Agent.CHA



Nº Total de Directorios: 6200

Nº Total de Ficheros: 65052

Nº de Ficheros Analizados: 19297

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Mon Jul 11 23:30:34 2005

EliStartPage v16.69 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 166

Nº Total de Ficheros: 2966

Nº de Ficheros Analizados: 321

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Jul 11 23:31:44 2005

EliStartPage v16.69 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad I:\



Nº Total de Directorios: 32

Nº Total de Ficheros: 509

Nº de Ficheros Analizados: 88

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Ya ha visto que la nueva version detecta y elimina el malware en cuestion:


[quote]Mon Jul 11 23:07:58 2005

EliStartPage v16.69 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Ricardo\Application Data\Yahoo!\Mail\attach\ZSMSCC071001.DLL --> Eliminado, Trojan.Agent.CHA

C:\WINDOWS\system32\ZSMSCC071001.DLL --> Eliminado, Trojan.Agent.CHA[/quote]

tras reiniciar vea si persisten las anomalias, y ponga al día el date/time, a ver si lo matiene a partir de ahora... y nos informa



saludos



ms, 11-07-2008

[Richo150]

Ni el nuevo elista, no spybot, ni superspyware y ni el agv no detectan nada pero fijate que la concete a la internet y se volvio a reiniciar sola...pero es que la precencia del virus esta ahi porque el calendario no adelanta hacia el 2008, ni con el =\-\up\ap de los BIOS y ni haciendolo manual desde el reloj. En modo seguro si cambia pero luego al reiniciar en normal, vuelve el calendario a la vieja fecha del 2005. El windows restore no funsiona creando una nueva fecha. Raro si, porque las dos computadoras estan igual.... se contagiaron de la misma manera el mismo dia y con los mismos sintomas...las baterias ya se las cambie... el trojan ese ya fue eliminado y el problema sigue...pero si los antivirus no detectan nada...podria ser causa de un hacker o un virus en los registros (me imagino) lo malo es que no las puedo conectar a la internet para darles un scaneo en linea y un update del ps3. No se que mas me aconsejan

[msc hotline sat]

Bueno, el ELISTARA sí que detectó y eliminó...


[quote]Mon Jul 11 23:07:58 2005

EliStartPage v16.69 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Ricardo\Application Data\Yahoo!\Mail\attach\ZSMSCC071001.DLL --> Eliminado, Trojan.Agent.CHA

C:\WINDOWS\system32\ZSMSCC071001.DLL --> Eliminado, Trojan.Agent.CHA[/quote]

y buena señal que analisis posteriores no detecte nada, señal que no se regenera !



Se me ocurre pensar en un reset a la CMOS, pero voy a releer todo el Tema a ver si se me enciende la bombilla... :wink:



saludos



ms, 12-07-2008

[msc hotline sat]

Bueno, vamos a ver este:



C:\WINDOWS\system32\FC0ADDF0.EXE



Buscando en internet no hay datos, lo cual me despierta la sospecha de que sea un malware con nombre aleatorio, envianoslo para analizar como ya sabes, pero de entrada subelo al VirusTotal y nos posteas el resultado del testeo: www.virustotal.com/es



saludos



ms, 12-07-2008

[Richo150]

ok..voy a buscarlo...fijate que aunque lo cambie con los BIOS la fecha, se regresa al iniciar la computadora...o sea que ha cambiado el funcionamiemto de los bios... y ahi si que cuesta limpiar creo...y es casi mejor cambiar el motherboard... pero creo debe haber una forma...voy por el file ese.



Comenzo con correr internet xplorer sin adds.....y despues empeoro. Una nota, ya esta computadora auciliar que esto utilizando ahoramismo, ya empezo con correr el internet explorar sin los add...huuumm!! tendre que darle continuos escaneos tambien. Ya regreso con la muestra

[msc hotline sat]

Por eso apunté lo del hacer un reset al chip CMOS donde se guarda la configuracion del SETUP del BIOS, pero ya veremos, que igual lo provoca el fichero de marras que he indicado ultimamente...



Subelo al VirusTotal e informanos, gracias



saludos



ms, 12-07-2008

[Richo150]

Análisis del archivo FC0ADDF0.EXE recibido el 12.07.2008 10:03:57 (CET)

Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO





Resultado: 31/33 (93.94%)

Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.7.11.0 2008.07.11 Win-Trojan/AutoRun.18190

AntiVir 7.8.0.64 2008.07.11 TR/Autorun.CA

Authentium 5.1.0.4 2008.07.11 W32/Agent.L.gen!Eldorado

Avast 4.8.1195.0 2008.07.12 Win32:Trojan-gen {Other}

AVG 7.5.0.516 2008.07.11 PSW.OnlineGames.AIWH

BitDefender 7.2 2008.07.12 Win32.Worm.Winko.I

CAT-QuickHeal 9.50 2008.07.11 TrojanDownloader.Flux.fa

ClamAV 0.93.1 2008.07.11 PUA.Packed.UPack-2

DrWeb 4.44.0.09170 2008.07.11 Trojan.Popwin

eSafe 7.0.17.0 2008.07.10 Suspicious File

eTrust-Vet 31.6.5949 2008.07.12 Win32/Pipown!generic

Ewido 4.0 2008.07.11 -

F-Prot 4.4.4.56 2008.07.11 W32/Agent.L.gen!Eldorado

F-Secure 7.60.13501.0 2008.07.10 Trojan-Downloader.Win32.Flux.fa

Fortinet 3.14.0.0 2008.07.11 W32/Flux.FA!tr.dldr

GData 2.0.7306.1023 2008.07.12 Trojan-Downloader.Win32.Flux.fa

Ikarus T3.1.1.26.0 2008.07.12 Trojan-Downloader.Win32.Flux.fa

Kaspersky 7.0.0.125 2008.07.12 Trojan-Downloader.Win32.Flux.fa

McAfee 5337 2008.07.11 New Malware.aj

Microsoft 1.3704 2008.07.12 Backdoor:Win32/Popwin.B

NOD32v2 3263 2008.07.11 Win32/TrojanDownloader.Flux.AA

Norman 5.80.02 2008.07.11 W32/Smalldoor.BLHB

Panda 9.0.0.4 2008.07.11 Adware/Alexa

Prevx1 V2 2008.07.12 -

Rising 20.52.51.00 2008.07.12 Worm.Win32.Agent.zno

Sophos 4.31.0 2008.07.12 Mal/Behav-027

Sunbelt 3.1.1536.1 2008.07.12 Worm.Win32.Winko.I

Symantec 10 2008.07.12 W32.Popwin

TheHacker 6.2.96.376 2008.07.10 Trojan/Downloader.Flux.fa

TrendMicro 8.700.0.1004 2008.07.11 WORM_ONLINEG.FLW

VBA32 3.12.6.9 2008.07.12 Trojan-Downloader.Win32.Flux.fa

VirusBuster 4.5.11.0 2008.07.11 Packed/Upack

Webwasher-Gateway 6.6.2 2008.07.11 Trojan.Drop.Agent.gxb

Información adicional

Tamano archivo: 18190 bytes

MD5...: b353017bdfae49e019c5e9c2029ba564

SHA1..: 3794559a9aaf844c6e38cb33e5a5c96800c4f7ac

SHA256: dd20adf652cfc4bcb0cfa568ad552c2b5d85aea5ebf938190fcd11fe1a712082

SHA512: de5670e302467b68b6a01fe41f6c452af081f7b648e584eb9bb770ebe404724e

c56da6f4eddc3c558c8c6bdec7475bb779124b5213ca8ccb02fc29ba52e126fe

PEiD..: -

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x401018

timedatestamp.....: 0x4011b0be (Fri Jan 23 23:39:42 2004)

machinetype.......: 0x14c (I386)



( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

PS 0x1000 0x1f000 0x1f0 5.25 da906278f767d03f09e44b4aeb7e0fbb

@CB 0x20000 0xc000 0x44dc 7.97 b75c5c638992103245a8e4a9da5fd790

8A@ 0x2c000 0x1000 0x1f0 5.25 da906278f767d03f09e44b4aeb7e0fbb



( 0 imports )



( 0 exports )



packers (Kaspersky): PE_Patch, UPack

packers (Authentium): UPack

packers (F-Prot): UPack

[msc hotline sat]

Bingo ! acertamos... envianoslo para pasarlo a controlar y mientras renombra la extension de dicho fichero a .VIR para que tras reiniciar ya no pueda activarse, y veamos como se comporta lo de la fecha y demas anomalías...



Tras ello, comentanos el resultado, gracias



saludos



ms, 12-07-2008







NOTA:



http://research.sunbelt-software.com/threatdisplay.aspx?name=Trojan-Downloader.Win32.Flux.fa&threatid=233089

[Richo150]

Otro condenado....y estoy revisando los que se produjeron el mismo dia para enviar las muestras juntas.



Análisis del archivo u11209671761.exe recibido el 12.07.2008 10:40:32 (CET)Resultado: 28/33 (84.85%)



Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.7.11.0 2008.07.11 Win-Trojan/Agent.5084

AntiVir 7.8.0.64 2008.07.11 TR/Agent.5084

Authentium 5.1.0.4 2008.07.11 W32/Heuristic-210!Eldorado

Avast 4.8.1195.0 2008.07.12 Win32:VB-ISC

AVG 7.5.0.516 2008.07.11 Clicker.NDL

BitDefender 7.2 2008.07.12 DeepScan:Generic.Malware.dld!!.50014FFA

CAT-QuickHeal 9.50 2008.07.11 TrojanClicker.VB.uu

ClamAV 0.93.1 2008.07.11 PUA.Packed.UPack-2

DrWeb 4.44.0.09170 2008.07.11 -

eSafe 7.0.17.0 2008.07.10 Suspicious File

eTrust-Vet 31.6.5949 2008.07.12 Win32/VMalum.CPCN

Ewido 4.0 2008.07.11 -

F-Prot 4.4.4.56 2008.07.11 W32/Heuristic-210!Eldorado

F-Secure 7.60.13501.0 2008.07.10 Trojan-Clicker.Win32.VB.uu

Fortinet 3.14.0.0 2008.07.12 -

GData 2.0.7306.1023 2008.07.12 Trojan-Clicker.Win32.VB.uu

Ikarus T3.1.1.26.0 2008.07.12 Trojan-Clicker.Win32.VB.uu

Kaspersky 7.0.0.125 2008.07.12 Trojan-Clicker.Win32.VB.uu

McAfee 5337 2008.07.11 Generic PWS.y

Microsoft 1.3704 2008.07.12 -

NOD32v2 3263 2008.07.11 -

Norman 5.80.02 2008.07.11 W32/Agent.EGDS

Panda 9.0.0.4 2008.07.12 Adware/AccesMembre

Prevx1 V2 2008.07.12 Malicious Software

Rising 20.52.51.00 2008.07.12 Trojan.Win32.VB.fmu

Sophos 4.31.0 2008.07.12 Mal/Emogen-N

Sunbelt 3.1.1536.1 2008.07.12 Trojan-Clicker.Win32.VB.uu

Symantec 10 2008.07.12 Infostealer.Gampass

TheHacker 6.2.96.376 2008.07.10 W32/Behav-Heuristic-060

TrendMicro 8.700.0.1004 2008.07.11 TSPY_ONLINEG.IA

VBA32 3.12.6.9 2008.07.12 Trojan-Clicker.Win32.VB.uu

VirusBuster 4.5.11.0 2008.07.11 Packed/Upack

Webwasher-Gateway 6.6.2 2008.07.11 Trojan.Agent.5084

Información adicional

Tamano archivo: 5084 bytes

MD5...: 6d5ce7d8609a3ebb029bd194d2dc8cc7

SHA1..: ba6affd8e857d1bbf0d95536b34b7e85b8df2072

SHA256: e4dd573cc7a2744ee22a0c077544ac5e0c0f54ea55977efe591d964f2d706430

SHA512: 3106027181acba1f7623ae5edd0188e3ec5803dacf7c4d08f59e7b17f6874726

1d2805809e1862b41b3966b370c1905c9f1135b23c5fc8da874eb458529cbff6

PEiD..: -

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x401018

timedatestamp.....: 0x4011b0be (Fri Jan 23 23:39:42 2004)

machinetype.......: 0x14c (I386)



( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

PS 0x1000 0x7000 0x1f0 5.12 42e767f6c1608d4ae0c1529985b65794

@@ 0x8000 0x9000 0x11dc 7.95 ef4552c1164bea4bfb8cebaa8e30b71c

s@@ 0x11000 0x1000 0x1f0 5.12 42e767f6c1608d4ae0c1529985b65794



( 0 imports )



( 0 exports )



Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=08F178DFDCD22F771312006A97005A0007C485D0

packers (Authentium): UPack

packers (F-Prot): UPack

packers (Avast): Upack

[Richo150]

Y otro maldito mas...creo que ya encontre el nido...los enviare juntos



Análisis del archivo k12156609221.exe recibido el 12.07.2008 10:45:31 (CET)







Resultado: 33/33 (100%)





Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.7.11.0 2008.07.11 Win-Trojan/Xema.variant

AntiVir 7.8.0.64 2008.07.11 TR/Agent.94720.H

Authentium 5.1.0.4 2008.07.11 W32/Trojan2.ASMF

Avast 4.8.1195.0 2008.07.12 Win32:Trojan-gen {Other}

AVG 7.5.0.516 2008.07.11 Generic10.AFFG

BitDefender 7.2 2008.07.12 Generic.Malware.SFEVdldg.EEBB8726

CAT-QuickHeal 9.50 2008.07.11 Trojan.Delf.aoo

ClamAV 0.93.1 2008.07.11 PUA.Packed.UPack-3

DrWeb 4.44.0.09170 2008.07.11 Trojan.PWS.Gamania.5414

eSafe 7.0.17.0 2008.07.10 Suspicious File

eTrust-Vet 31.6.5949 2008.07.12 Win32/Hitpop.CY

Ewido 4.0 2008.07.11 Trojan.Delf.aoo

F-Prot 4.4.4.56 2008.07.11 W32/Trojan2.ASMF

F-Secure 7.60.13501.0 2008.07.10 Trojan.Win32.Delf.aoo

Fortinet 3.14.0.0 2008.07.12 W32/Gamania.E782!tr.pws

GData 2.0.7306.1023 2008.07.12 Trojan.Win32.Delf.aoo

Ikarus T3.1.1.26.0 2008.07.12 Virus.Win32.Trojan

Kaspersky 7.0.0.125 2008.07.12 Trojan.Win32.Delf.aoo

McAfee 5337 2008.07.11 Generic.dx

Microsoft 1.3704 2008.07.12 TrojanSpy:Win32/Hitpop.gen!A

NOD32v2 3263 2008.07.11 Win32/Spy.Delf.NIL

Norman 5.80.02 2008.07.11 W32/Agent.EVOF

Panda 9.0.0.4 2008.07.12 Generic Malware

Prevx1 V2 2008.07.12 Malicious Software

Rising 20.52.51.00 2008.07.12 Trojan.Win32.Mnless.zrb

Sophos 4.31.0 2008.07.12 Mal/Packer

Sunbelt 3.1.1536.1 2008.07.12 Trojan.Agent.cha.1

Symantec 10 2008.07.12 Trojan Horse

TheHacker 6.2.96.376 2008.07.10 Trojan/Delf.aoo

TrendMicro 8.700.0.1004 2008.07.11 TROJ_GENETIK.KQ

VBA32 3.12.6.9 2008.07.12 Trojan.PWS.Gamania.5414

VirusBuster 4.5.11.0 2008.07.11 Trojan.DL.Agent.CXPW

Webwasher-Gateway 6.6.2 2008.07.11 Trojan.Agent.94720.H

Información adicional

Tamano archivo: 66576 bytes

MD5...: 00cfd22f28fb94814c5e3c3d20280162

SHA1..: 9d72cc7add7a5340a8b35d78cadd953f5e268560

SHA256: 1129cc75d7f4ceddfa870ed1f262ced57315096a6db9fc49e5ef9280d0174a15

SHA512: 68a47183486f450f8e4f46fb788254fcd7020b3ac0135cb41997c0ffd6e7b2a8

092276970ef28648da78677e43f96a797f8bb02d6e1a06bf2302ce17b0a5b12d

PEiD..: -

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x401018

timedatestamp.....: 0x4011e0be (Sat Jan 24 03:04:30 2004)

machinetype.......: 0x14c (I386)



( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

nC_D 0x1000 0x2f000 0x1f0 4.62 8d00e56ef938e0276cdab7f5ca3e1862

.Upack 0x30000 0x15000 0x10210 8.00 e1aa73752b8b60781d7d2640cbe09784

.ByDwing 0x45000 0x1000 0x1f0 4.62 8d00e56ef938e0276cdab7f5ca3e1862



( 0 imports )



( 0 exports )



Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=BBE85B5D10267FBD045E01483413EE00578E0EDF

packers (Kaspersky): PE_Patch, UPack

[Richo150]

Todos los que comienzan con K y numeros...creo que estan contagiados...seguire chequeando el nido y poniendo el log para enviar las muestras



Análisis del archivo k12156609232.exe recibido el 12.07.2008 10:48:02 (CET)

Resultado: 18/33 (54.55%)





Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.7.11.0 2008.07.11 -

AntiVir 7.8.0.64 2008.07.11 TR/Crypt.FKM.Gen

Authentium 5.1.0.4 2008.07.11 W32/Heuristic-CSU!Eldorado

Avast 4.8.1195.0 2008.07.12 Win32:Trojan-gen {Other}

AVG 7.5.0.516 2008.07.11 -

BitDefender 7.2 2008.07.12 -

CAT-QuickHeal 9.50 2008.07.11 (Suspicious) - DNAScan

ClamAV 0.93.1 2008.07.11 PUA.Packed.UPack-2

DrWeb 4.44.0.09170 2008.07.11 -

eSafe 7.0.17.0 2008.07.10 Suspicious File

eTrust-Vet 31.6.5949 2008.07.12 -

Ewido 4.0 2008.07.11 -

F-Prot 4.4.4.56 2008.07.11 W32/Heuristic-CSU!Eldorado

F-Secure 7.60.13501.0 2008.07.10 W32/Suspicious_U.gen

Fortinet 3.14.0.0 2008.07.12 -

GData 2.0.7306.1023 2008.07.12 Win32:Trojan-gen

Ikarus T3.1.1.26.0 2008.07.12 -

Kaspersky 7.0.0.125 2008.07.12 -

McAfee 5337 2008.07.11 New Malware.ex

Microsoft 1.3704 2008.07.12 -

NOD32v2 3263 2008.07.11 -

Norman 5.80.02 2008.07.11 W32/Suspicious_U.gen

Panda 9.0.0.4 2008.07.12 Suspicious file

Prevx1 V2 2008.07.12 -

Rising 20.52.51.00 2008.07.12 -

Sophos 4.31.0 2008.07.12 Mal/Packer

Sunbelt 3.1.1536.1 2008.07.12 VIPRE.Suspicious

Symantec 10 2008.07.12 -

TheHacker 6.2.96.376 2008.07.10 W32/Behav-Heuristic-060

TrendMicro 8.700.0.1004 2008.07.11 PAK_Generic.006

VBA32 3.12.6.9 2008.07.12 -

VirusBuster 4.5.11.0 2008.07.11 Packed/Upack

Webwasher-Gateway 6.6.2 2008.07.11 Trojan.Crypt.FKM.Gen

Información adicional

Tamano archivo: 2653 bytes

MD5...: 2a9cbd5e2f366f1ce3bcee039d52a2ef

SHA1..: 9783c7d1dcbac3afe42b33b9fa883572f6cc9b28

SHA256: 40f3cfe4bec87fa9868ab33a46c5620c22a6914068f0a0c69e306486bf201404

SHA512: e20767c5731ceaf66855bfc95e2ce3c6e7d5f745e7de08526519eb097eee8693

212980af678f5633481d8e5a1bbebc25ba51ff721adabac45c8fb289c0c34423

PEiD..: -

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x401018

timedatestamp.....: 0x4011b0be (Fri Jan 23 23:39:42 2004)

machinetype.......: 0x14c (I386)



( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

PS 0x1000 0x11000 0x1f0 5.27 f63371f01e3e5a6e1fe98a21fe45d307

@LJA 0x12000 0xa000 0x2b74 7.46 53e18cda3c467577411e6e9821e0577e

A@ 0x1c000 0x1000 0x1f0 5.27 f63371f01e3e5a6e1fe98a21fe45d307



( 0 imports )



( 0 exports )



packers (Kaspersky): PE_Patch, UPack

[Richo150]

Otro que comienza con k y numeros...en unos casos esta repetido el file



Análisis del archivo k12156615601.exe



Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.7.11.0 2008.07.11 Win-Trojan/Xema.variant

AntiVir 7.8.0.64 2008.07.11 TR/Agent.94720.H

Authentium 5.1.0.4 2008.07.11 W32/Trojan2.ASMF

Avast 4.8.1195.0 2008.07.12 Win32:Trojan-gen {Other}

AVG 7.5.0.516 2008.07.11 Generic10.AFFG

BitDefender 7.2 2008.07.12 Generic.Malware.SFEVdldg.EEBB8726

CAT-QuickHeal 9.50 2008.07.11 Trojan.Delf.aoo

ClamAV 0.93.1 2008.07.11 PUA.Packed.UPack-3

DrWeb 4.44.0.09170 2008.07.11 Trojan.PWS.Gamania.5414

eSafe 7.0.17.0 2008.07.10 Suspicious File

eTrust-Vet 31.6.5949 2008.07.12 Win32/Hitpop.CY

Ewido 4.0 2008.07.11 Trojan.Delf.aoo

F-Prot 4.4.4.56 2008.07.11 W32/Trojan2.ASMF

F-Secure 7.60.13501.0 2008.07.10 Trojan.Win32.Delf.aoo

Fortinet 3.14.0.0 2008.07.12 W32/Gamania.E782!tr.pws

GData 2.0.7306.1023 2008.07.12 Trojan.Win32.Delf.aoo

Ikarus T3.1.1.26.0 2008.07.12 Virus.Win32.Trojan

Kaspersky 7.0.0.125 2008.07.12 Trojan.Win32.Delf.aoo

McAfee 5337 2008.07.11 Generic.dx

Microsoft 1.3704 2008.07.12 TrojanSpy:Win32/Hitpop.gen!A

NOD32v2 3263 2008.07.11 Win32/Spy.Delf.NIL

Norman 5.80.02 2008.07.11 W32/Agent.EVOF

Panda 9.0.0.4 2008.07.12 Generic Malware

Prevx1 V2 2008.07.12 Malicious Software

Rising 20.52.51.00 2008.07.12 Trojan.Win32.Mnless.zrb

Sophos 4.31.0 2008.07.12 Mal/Packer

Sunbelt 3.1.1536.1 2008.07.12 Trojan.Agent.cha.1

Symantec 10 2008.07.12 Trojan Horse

TheHacker 6.2.96.376 2008.07.10 Trojan/Delf.aoo

TrendMicro 8.700.0.1004 2008.07.11 TROJ_GENETIK.KQ

VBA32 3.12.6.9 2008.07.12 Trojan.PWS.Gamania.5414

VirusBuster 4.5.11.0 2008.07.11 Trojan.DL.Agent.CXPW

Webwasher-Gateway 6.6.2 2008.07.11 Trojan.Agent.94720.H

[msc hotline sat]

Es importante que renombres su extension a .VIR, y nos los envies, aunque es probable que la misma cadena de deteccion sirva para todos, asi que el lunes, con la nueva version de la utilidad en la que implementemos su control, probablemente el ELISTARA, controlaremos estos y quizas otros que no ves... :wink:



Buena caza !



saludos



ms, 12-07-2008

[Richo150]

Envie 14 files de muestras que son contagiosos...uno iba en rar y no se si esta bien...sino lo cambio a zip.



Gracias...