GENERIC TROJAN (SOLUCIONADO)

psique · Mensaje por **psique** » 22 Sep 2008, 16:48

hola!!! el otro día el panda me detecto un Trojano en el ordenador pero no me lo eliminó, lo marca como identificado y renombrado pero el trojano sigue ahi, nose si es por eso pero el ordenador ultimamente me va muy lento y no se me abren muchas de las paginas de internet. la ubicación que me pone el panda es la siguiente

c:\documents and settings\nuevo\configuracion local\temp\aax78.tmp.exe[2çç\y_toobar.exe][2èç]

¿podeis ayudarme?

Muchas gracias

Mensaje por **lucl** » 22 Sep 2008, 16:57

Pues lo primero de todo quitale la extension .exe y ponle .VIR y luego nos lo envias para analizarlo y darte la herramienta necesaria para quitarlo, saludos

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Mensaje por **msc hotline sat** » 22 Sep 2008, 17:11

Y al ser un fichero temporal, posiblemente sea lanzado por otro, que seguirá creando y lanzando otro igual o parecido a este aun despues de eliminarlo

Es posible que con la cadena que extraigamos de la muestra podamos detectar tambien el dropper o el downloader que la genera, pero por si acaso, ademas de enviarnos dicha muestra, lanza este AV ONLINE y posteanos el informe resultante:

[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred]~~[b]~~ SOLO TESTEO AV ONLINE[/b][/color][/url]

NOTA: Y escojer la opcion de MIPC para escanearlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.

[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]

saludos

ms, 22-09-2008

psique · Mensaje por **psique** » 22 Sep 2008, 17:30

cuando el panda me lo renombró le puso ya la extensión vir.

En cuanto llegue a casa os mando lo que me habeis pedido, bueno si lo consigo, jajaja

psique · Mensaje por **psique** » 22 Sep 2008, 23:43

Hola aqui os mando lo que me dijisteis pero el kaspersky no ha detectado ningun virus

Bombre del objeto infectado Nombre del virus Última acción

C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\c64f01480360d7046cc9bc6a5866f818PSK_NAMES Object is locked saltado

C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\c64f01480360d7046cc9bc6a5866f818PSK_NAMES2 Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\sentinel\2.1\gwhashs.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\nuevo\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\nuevo\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\nuevo\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\nuevo\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\nuevo\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\nuevo\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\nuevo\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\nuevo\ntuser.dat.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{359BA19B-6617-4960-95BE-18F29AADD0E8}\RP347\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\EventCache\{7FF232C4-EA6D-463F-8AA2-84CBBD58DC4C}.bin Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

Análisis completado.

no se si es esto lo que necesitabais, he intentado mandar el archivo comprimido pero nose si se ha mandado tendría que aparecer en mis mensajes? internet se me queda calado cada dos por tres y no se si al final lo mande de todas formas lo vuelvo a intentar ahora

gracias

un saludo

Mensaje por **lucl** » 22 Sep 2008, 23:46

Si, por si acaso insiste en enviarlo de nuevo si no ha llegado mañana te lo haran saber, saludos

Mensaje por **msc hotline sat** » 23 Sep 2008, 06:53

No, si utiliza el sistema automatico de este foro, se está enviando vía webmail, no con su cliente de correo habitual, por ello no lo ve reflejado en su histórico.

Espero que lo habremos recibido y en 2 o 3 horas, cuando llegue a SATINFO, lo veremos e informaremos

saludos

ms, 23-09-2008

Mensaje por **msc hotline sat** » 23 Sep 2008, 10:23

Recibido el fichero, resulta ser de 20 Mb, por lo que no procede debuguearlo.

No podemos controlarlo por cadenas dado que ficheros tan grandes coinciden sus cadenas con otros de instalacion o similares, eliminalo directamentey vacia la papelera.

Si te vuelve a aparecer lo que se puede es crear una carpeta con su nombre para evitar que se regenere.

Si es el caso, dinoslo y te informaremos mas detalladamente.

saludos

ms, 23-09-2008

NOTA : POSIBLEMENTE ES UN FALSO POSITIVO DE PANDA , PERIO MAS VALE PRESCINDIR DE ÉL...- AL PARECER EL FICHERO ES UNA INSTALACION DE XVID, QUIZAS PARA VISUALIZACION DE DIVX. ms.

psique · Mensaje por **psique** » 23 Sep 2008, 10:33

Ok, muchas gracias, luego lo elimino y ya os contare que tal

Mensaje por **msc hotline sat** » 23 Sep 2008, 11:00

Como que he añadido notas posteriores a tu post, (tenía mi post en edición mientras atendia el trabajo), revisa lo que te digo en la NOTA de mi post anterior):

[quote]NOTA : POSIBLEMENTE ES UN FALSO POSITIVO DE PANDA , PERIO MAS VALE PRESCINDIR DE ÉL...- AL PARECER EL FICHERO ES UNA INSTALACION DE XVID, QUIZAS PARA VISUALIZACION DE DIVX. ms.[/quote]

saludos

ms, 23-09-2008

psique · Mensaje por **psique** » 25 Sep 2008, 10:26

hola!! nos os he podido escribir antes, al final elimine el archivo y ya no me ha vuelto a aparecer ningun aviso de troyano

Muchisimas gracias!!!!

un besazo

ciao

Mensaje por **msc hotline sat** » 25 Sep 2008, 10:28

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 25-09-2008

GENERIC TROJAN (SOLUCIONADO)

GENERIC TROJAN (SOLUCIONADO)

Re: GENERIC TROJAN

Re: GENERIC TROJAN

Re: GENERIC TROJAN

Re: GENERIC TROJAN

Re: GENERIC TROJAN

Re: GENERIC TROJAN

Re: GENERIC TROJAN

Re: GENERIC TROJAN

Re: GENERIC TROJAN

Re: GENERIC TROJAN

Re: GENERIC TROJAN