El win32.Agent.BU me tiene hasta de los bigotes(SOLUCIONADO)

[msc hotline sat]

Da igual en RAR o ZIP mientras sean empaquetados con password VIRUS...



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



sino pueden ser interceptados por servidores de la Red y no llegarnos.



saludos



ms, 12-07-2008

[Richo150]

He enviado dos veces las muestras de los 14 files infectados pero me regresan en el email...sera porque es fin de semana y no reciven los files los fines de semana?....

[msc hotline sat]

No, la web de SATINFO y su servidor de correo está abierta 24 horas al día y todos los dias del año...



Mas bien es porque no empaqueta el ZIP o RAR que nos envia, con passord VIRUS, como se indica en el link que indicabamos al respecto, y se aclara en:



https://foros.zonavirus.com/viewtopic.php?f=5&t=24875





saludos



ms, 13-07-2008

[Richo150]

Auxilio!!! mis muestras no llegan...regresan a mi email y ya las comprimi..



comprimi en winzip cada uno de los files y les puese virus como clave y los envie pero regresaron....luego cree una carpeta y la denomine muestras y agregue ahi todos los 14 files ya comprimidos y luego la carpeta muestras la comprimi en winzip (muestras.zip)pero aun asi regresa..



que puedo hacer

[msc hotline sat]

Debes empaquetarlas con password, poniendo como contraseña VIRUS !!!:



Mira lo que te digo en mis ultimos post al respecto, en este mismo Tema...



Y prueba de desempaquetar estos ZIP o RAR, si no te pide password es que no lo tiene :wink:



saludos



ms, 14-07-2008

[Richo150]

Ya envie todos los files infectados...pero como por email regresaban aun con password, los envie directo desde el foro al enlace ese que dice enviar muestras. Las envie uno por uno. Gracias.



Como adelanto, le pase el Panda 2007 y borro uno...los demas no los detecto, aunque antes de utilizar el panda no permitia borrar los ficheros manualmente, despues me permitio borrar todos los ficheros infectados manualmente...y luego de borrardos la computadora ya puede regresar al 2008 y esta funcionando en el 2008, aun hace falta ver si no regresan y por eso es que es importante que al revisar los files que envie, y posteen el nuevo elistar vaya incluida una cura para esos trojanos y asi pasarle el scan y borrarlos definitivamente.

[msc hotline sat]

Los sospechosos no son necesariamente culpables ...



Eso de eliminarlos no ha sido muy prudente, mejor es renombvrar su extension a .VIR, de esta forma quedan inutilizados igualmente, pero si resulta que alguno no es malicioso, se vuelve a renombrar a la extension original y listos, mientras que si los ha eliminado...



Pero bueno, la experiencia es un grado :wink: , ya lo sabe para otra vez.



Hoy esperamos recibir los ficheros enviados, y tras analizarlos, informaremos



saludos



ms, 15-07-2008

[Richo150]

Lo que borro el Panda es:



UWA7P_0001_N01M0809NetInstaller.exe



y otro



C:/windows/system32/upMedia/searchtool.dll (no se porque lo elimino y no parecia sospechoso)



Estamos en contacto...para pasar el nuevo elistar y asi ver si todo se soluciono y cerrar el tema/



Es una buena experiencia este foro..gracias

[msc hotline sat]

Nos referiamos a que no convenía borrar manualmente los simplemente sospechosos, que nos parecía haber entendido habia hecho por lo de [b][i]"me permitio borrar todos los ficheros infectados manualmente"[/i][/b], pero si se los ha borrado Panda, ellos sabrán porqué :wink:



Tras analizar los ficheros que recibamos, obraremos en consecuencia e informaremos al respecto



saludos



ms, 15-07-2008

[Richo150]

Si...fue un error borrarlos manualmente los que no borro el panda en una computadora..



Son dos las computadoras infectadas y en una no he podido correr el panda porque dice que existe el norton pero el Norton ya no existe, por lo tanto posee los mismos archivos infectados y que no pueden ser borrados, ambas computadoras se me contagiaron de igual manera, y la que tengo infectada igual no cambia el calendario desde el 2005, a esa ni el panda le puedo instalar....son los mismos files y los mismos virus trojanos, asi que con el nuevo elistar, va a limpiarse me imagino.



Disculpas.

[msc hotline sat]

Si, pero no hoy, pues estan en cola para monitorizacion, ya que hay saturacion de muestras de clientes, y a continuacion vienen las de zonavirus.



En un analisis previos hemos separado 4 ficheros tipo de entre los muchos que envias, y trabajaremos con ellos, y cuando estos se hayan controlado, veremos si dichas utilidades controlan los demas, como suponemos.



Espero que se pueda implementar su control en el ELISTARA 16.72 de mañana



Si quieres, mientras, renombra la extension de dichos ficheros a .VIR y asi tras reiniciar ya no se pondran en marcha



saludos



ms, 15-07-2008

[msc hotline sat]

Faena nos ha dado, pero al final lo hemos controlado !



En el ELISTARA de hoy, 16.72 hemos implementado la eliminacion y control de las 4 o 5 familias de malwares que nos envió.



Descarguelo esta tarde y tras probarlo. nos comenta el resultado, gracias


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 16-07-2008

[Richo150]

AHORA SI....LE HIZO UNA BUENA LIMPIEZA A LA PRIMER COMPUTADORA.....Y VOY A SCANEAR LA SEGUNDA COMPUTADORA PARA PEGAR LOS RESULTADOS...



PRIMER COMPUTADORA



Thu Jul 17 14:46:23 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\ZSMSCC071001.EXE --> Eliminado Trojan.Agent.CHA

C:\WINDOWS\SYSTEM32\ZSMSCC32.DLL --> Eliminado Trojan.Agent.CHA

C:\WINDOWS\ZSMSCC16.INI --> Eliminado (Fichero Complementario).

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jul 17 14:47:00 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad I:\

I:\AUTO.EXE --> Eliminado, Winko(worm)

I:\C7B1D030.EXE --> Eliminado, DownLoader.Zlob.QNV



Nº Total de Directorios: 67

Nº Total de Ficheros: 783

Nº de Ficheros Analizados: 215

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Thu Jul 17 14:47:36 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\AUTO.EXE --> Eliminado, Winko(worm)



Nº Total de Directorios: 166

Nº Total de Ficheros: 2966

Nº de Ficheros Analizados: 321

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Thu Jul 17 14:47:55 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\AUTO.EXE --> Eliminado, Winko(worm)

C:\WINDOWS\system32\18D06744.DLL --> Eliminado, Winko(worm.dll

C:\WINDOWS\system32\2F1D3F4.DLL --> Eliminado, DownLoader.Zlob.QNV

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8TU705MV\CK[1].EXE --> Eliminado, DownLoader.Zlob.QNV

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WDQZKXYB\GJD[1].EXE --> Eliminado, Clicker.VB.UU



Nº Total de Directorios: 6246

Nº Total de Ficheros: 66080

Nº de Ficheros Analizados: 19399

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 5





VOY A PEGAN PRONTO EL ESCANEO DE LA SEGUNDA COMPUTADORA....SI TODO SALE BIEN CERRAREMOS EL TEMA... HAN REALIZADO UN INMENSO TRABAJO...GRACIA

[msc hotline sat]

Sí, es de lo que se trataba.

Pues esperamos el informe del segundo ordenador y si no tienes otras incidencias al respecto, dariamos por solucionado el Tema



saludos



ms, 17-07-2008

[Richo150]

COMPUTADORA DOS...TODO EXELENTE...NO ELIMINO UNO EN EL PRIMER SCANEO PERO EN EL REESTAREO LO ELIMINO Y YA VOLVIO EL CALENDARIO DE LA SEGUNDA COMPUTADORA HACIA EL 2008....WOW!! ES UN GRAN ALIVIO..Y CREO QUE DEBEMOS DAR CERRADO EL TEMA PORQUE TAMBIEN ESCANIE LA TERCER COMPUTADORA AUXILIAR Y ESTA LIMPIA...



BUENO, MUCHAS GRACIAS Y ME HAN SALVADO DE PAGAR BASTANTE DINERO EN REPARACIONES Y ES JUSTO RECONOCER LA LABOR QUE HACEN PARA QUE ESTE FORO DE AYUDA CONTINUE..



LOGO DE LA SEGUNDA COMPUTADORA....SE PUEDE CERRAR EL TEMA Y SEGUIMOS EN CONTACTO.





Sun Jul 17 14:39:26 2005

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\ZSMSCC071001.EXE --> Eliminado Trojan.Agent.CHA

C:\WINDOWS\SYSTEM32\ZSMSCC32.DLL --> Eliminado Trojan.Agent.CHA

C:\WINDOWS\ZSMSCC16.INI --> Eliminado (Fichero Complementario).

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Jul 17 14:39:55 2005

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

F:\AUTO.EXE --> Eliminado, Winko(worm)



Nº Total de Directorios: 67

Nº Total de Ficheros: 782

Nº de Ficheros Analizados: 214

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Sun Jul 17 14:40:30 2005

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\AUTO.EXE --> Eliminado, Winko(worm)

C:\WINDOWS\system32\B2132BFC.DLL --> Acceso Denegado, Winko(worm.dll (Reiniciar para Completar la Limpieza)

C:\WINDOWS\system32\BAFDAA6A.VIR --> Eliminado, Malware.K12156609232

C:\WINDOWS\system32\E49D7F6.EXE --> Eliminado, Winko(worm)

C:\WINDOWS\system32\K11122242011.VIR --> Eliminado, Trojan.Agent.CHA

C:\WINDOWS\system32\K11207035141.VIR --> Eliminado, Trojan.Agent.CHA

C:\WINDOWS\system32\K11209220471.VIR --> Eliminado, Trojan.Agent.CHA

C:\WINDOWS\system32\K11209224351.VIR --> Eliminado, Trojan.Agent.CHA

C:\WINDOWS\system32\K12039830251.VIR --> Eliminado, Trojan.Agent.CHA

C:\WINDOWS\system32\K12039830921.VIR --> Eliminado, Trojan.Agent.CHA

C:\WINDOWS\system32\K12039952371.VIR --> Eliminado, Trojan.Agent.CHA

C:\WINDOWS\system32\K12039952411.VIR --> Eliminado, Trojan.Agent.CHA

C:\WINDOWS\system32\K12039970711.VIR --> Eliminado, Trojan.Agent.CHA

C:\WINDOWS\system32\K12040024901.VIR --> Eliminado, Trojan.Agent.CHA

C:\WINDOWS\system32\K12040060431.VIR --> Eliminado, Trojan.Agent.CHA

C:\WINDOWS\system32\K12040060461.VIR --> Eliminado, Trojan.Agent.CHA

C:\WINDOWS\system32\K12057403071.VIR --> Eliminado, Trojan.Agent.CHA

C:\WINDOWS\system32\K12057403711.VIR --> Eliminado, Trojan.Agent.CHA

C:\WINDOWS\system32\K12057421701.VIR --> Eliminado, Trojan.Agent.CHA

C:\WINDOWS\system32\K12057439721.VIR --> Eliminado, Trojan.Agent.CHA

C:\WINDOWS\system32\K12057457741.VIR --> Eliminado, Trojan.Agent.CHA

C:\WINDOWS\system32\K12067385861.VIR --> Eliminado, Trojan.Agent.CHA

C:\WINDOWS\system32\K12067385891.VIR --> Eliminado, Trojan.Agent.CHA

C:\WINDOWS\system32\K12067422301.VIR --> Eliminado, Trojan.Agent.CHA

C:\WINDOWS\system32\K12067440341.VIR --> Eliminado, Trojan.Agent.CHA

C:\WINDOWS\system32\K9466493361.VIR --> Eliminado, Trojan.Agent.CHA

C:\WINDOWS\system32\K9466494751.VIR --> Eliminado, Trojan.Agent.CHA

C:\WINDOWS\system32\U11122241301.VIR --> Eliminado, Clicker.VB.UU

C:\WINDOWS\system32\U11207034901.VIR --> Eliminado, Clicker.VB.UU

C:\WINDOWS\system32\U11209220481.VIR --> Eliminado, Clicker.VB.UU

C:\WINDOWS\system32\U11209224281.VIR --> Eliminado, Clicker.VB.UU

C:\WINDOWS\system32\U9466493071.VIR --> Eliminado, Clicker.VB.UU

C:\WINDOWS\system32\U9466494771.VIR --> Eliminado, Clicker.VB.UU

C:\WINDOWS\system32\U9466506301.VIR --> Eliminado, Clicker.VB.UU

C:\WINDOWS\system32\U9466507541.VIR --> Eliminado, Clicker.VB.UU

C:\WINDOWS\system32\U9470116711.VIR --> Eliminado, Clicker.VB.UU

C:\WINDOWS\system32\ZSMSCC320.DLL --> Eliminado, Trojan.Agent.CHA

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\45QNC12N\CK[1].EXE --> Eliminado, DownLoader.Zlob.QNV

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OPU70T6F\GJD[1].EXE --> Eliminado, Clicker.VB.UU



Nº Total de Directorios: 8903

Nº Total de Ficheros: 110364

Nº de Ficheros Analizados: 46822

Nº de Ficheros Infectados: 39

Nº de Ficheros Limpiados: 38



Sun Jul 17 15:24:50 2005

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Jul 17 15:24:59 2005

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\AUTO.EXE --> Eliminado, Winko(worm)

C:\WINDOWS\system32\B2132BFC.DLL.VIR --> Eliminado, Winko(worm.dll



Nº Total de Directorios: 8903

Nº Total de Ficheros: 110331

Nº de Ficheros Analizados: 46785

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

[msc hotline sat]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 17-07-2008