W32.pss.trojan (solo lectura) (SOLUCIONADO)

[gavilancolorao]

Hola amigos:



Mi Norton antivirus me indica que mi PC está infectado con el W32.PSS.trojan pero que no lo puede eliminar porque es de "solo lectura". Porfa ¿ Como hago para eliminarlo manualmente ?



Muchísimas gracias, Gavilancolorao

[gavilancolorao]

El nombre del troyano es: W32.DSS.Trojan. Me equivoqué no es Pss, es DSS-

[msc hotline sat]

Se supone que arrancando en modo seguro, tu antivirus lo podrá eliminar, pero sino, empaquetas (en dicho modo) el fichero infectado, con password virus, y tras reiniciar nos lo envias para analizar:

ENVIÓ DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar:
viewtopic.php?f=5&t=14253

saludos

ms, 6-10-2008

[gavilancolorao]

Hola y gracias por su respuesta



No sé como averiguar el nombre del archivo infectado para así poder enviarselos...¿ Como hacerlo ?. Mi anti virus Norton no funciona en modo seguro.

[flacoroo]

bajate estos archivos, deshabilitas restaurar sistemas, los ejecutas y cuando diga explorar le das click; hasta que termine; después nos pegas el resultado de C:infosat.txt (si no puedes ejecutarlos en forma normal hazlo reiniciando tu compu en modo seguro)

Descargar Elistara
Descargar ElitriIP
Descargar Elinotiff (complemento del elistara, no se ejecuta pero deben estar en la misma carpeta)

[lucl]

El norton tiene que dejar un registro de los analisis que haces incluso de lo que hay en cuarentena y demas, busca por ahi los informes no se donde lo dejara norton exactamente pero tiene que haber uno, ahi te pondra nombre del archivo y demas, saludos

[gavilancolorao]

Hola amigos:



Gracias por las respuestas.



No puedo descargar elistar. Me sale una ventana indicando que "el acceso ha sido denegado"



Busqué en el Norton y sólo salen un montón de "tracking cookies" de riesgo bajo ¿ Que pasó con el troyano??? ¿ Estará escondido???



Ese troyano vino con un keygen para photoshop cs3. Ya eliminé el photoshop y el keygen



Saludos

[msc hotline sat]

Todo el mundo puede descargar el ELISTARA (lo llevan hecho mas de 3 millones de veces en esta web) , creo que no puedes porque quizás tienes residente tu antivirus, que tiene un falso positivo conocido y detecta el ZLOB en el ELISTARA...,

viewtopic.php?f=5&t=26228

desactiva tu antivirus para descargar y probar dicha utilidad, o arranca en modo seguro con funciones de red, y asi no incordiará.

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 7-10-2008

[gavilancolorao]

Hola:



Logré bajar y analizar con elistara mi PC en modo seguro con funciones de red



El reporte es el siguiente:



Tue Oct 07 08:46:20 2008

EliStartPage v17.12 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"



Tue Oct 07 08:46:54 2008

EliTriIP v5.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Oct 07 08:47:13 2008

EliTriIP v5.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Macromedia\Dreamweaver 8\Configuration\JSExtensions\SSITranslator.dll --> Eliminado, BackDoor.CMQ (dropper)



Nº Total de Directorios: 3664

Nº Total de Ficheros: 46360

Nº de Ficheros Analizados: 16057

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Tue Oct 07 08:55:51 2008

EliStartPage v17.12 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Oct 07 08:56:11 2008

EliTriIP v5.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):



:mrgreen:



Aparecieron varias ventanas antes de realizar el escaneo, a todas les dije "no"( ¿ Hice lo correcto ? )

También indicó que no había podido analizar un archivito de mp3 que bajé de internet porque está bloqueado





Tal parece encontró y eliminó algo ¿ No es cierto ?



Saludos de Gavilancolorao

[lucl]

Conviene decir a todo que si, asi que vuelve a analizar el pc, en cuanto al archivo de mp3 intenta subirlo a analizar a virustotal pues puede estar infectado, si da virico nos pegas el log y nos lo envias para analizar, saludos

https://www.virustotal.com/es/

viewtopic.php?f=5&t=14253

[msc hotline sat]

De todas formas, estos .mp3 no deben ser lo que pretenden, y como hemos dicho ya en otro Tema reciente:

Analizados los tres MP3 recibidos, no son propiamente ficheros de dicha extension, eliminelos.

No pasamos a controlarlos ya que ello implicaria controlar los MP3, lo cual no hacemos por no proceder (alargaría mucho la exploracion del ELISTARA, y de momento no se considera imprescindible)

Una vez eliminados, reinicie e informenos si persiste alguna anomalia o no.

saludos

ms, 6-10-2008

si con el VirusTotal los detectan infectado, probablemente con alguna variante de Trojan-Downloader.WMA.Wimad


mejor eliminelos

saludos
ms, 8-10-2008

[gavilancolorao]

Muy buenas tardes:



realizé de nuevo el escaneo con elistara tal cual como me lo indicaron.



No pudo entrar en dos archivos de Symantec. Tampoco pudo acceder a una carpeta con varios archivos de mp3. Decidí eliminar esa carpeta. Con los archivos de Symantec supogo que no importa ya que son de Symantec y no pueden estar infectados ( Digo yo...) :roll:





Tue Oct 07 08:46:20 2008

EliStartPage v17.12 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"



Tue Oct 07 08:46:54 2008

EliTriIP v5.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Oct 07 08:47:13 2008

EliTriIP v5.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Macromedia\Dreamweaver 8\Configuration\JSExtensions\SSITranslator.dll --> Eliminado, BackDoor.CMQ (dropper)



Nº Total de Directorios: 3664

Nº Total de Ficheros: 46360

Nº de Ficheros Analizados: 16057

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Tue Oct 07 08:55:51 2008

EliStartPage v17.12 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Oct 07 08:56:11 2008

EliTriIP v5.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Oct 07 10:42:14 2008

EliStartPage v17.12 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Oct 07 10:46:33 2008

EliStartPage v17.12 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 3647

Nº Total de Ficheros: 44631

Nº de Ficheros Analizados: 17121

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1





Gracias por su valioso tiempo



Saludos de Gavilancolorao :D

[msc hotline sat]

Está claro que los ficheros originales de Symantec no es probable que estén infectados, pero ojo, cualquier virus puede infectarlos como a cualquier otro...

De todas formas dejemoslos estar de momento y tras reiniciar diganos si aun persiste alguna anomalia, y si es asi, lance este AV ONLINE y posteenos el informe resultante


NOTA: Y escojer la opcion de MIPC para escanearlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.


saludos
ms, 7-10-2008

[gavilancolorao]

Estimado msc hotline sat:



Pues le digo que escaneé mi PC con mi Norton Antivirus y este atrapó y eliminó un "trojan. zlob".

Luego, como no hubo manera de desactivar el Norton analizé mi PC con el antivirus online en modo seguro y este es el reporte:



KASPERSKY ONLINE SCANNER INFORME

miércoles, 08 de octubre de 2008 18:12:47

Sistema operativo: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 8/10/2008

Registros en la base antivirus: 1162244





Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero



Objetivo a analizar Mi PC

A:\

C:\

D:\



Estadísticas

Número de objeros analizados 76923

Virus encontrados 0

Objetos infectados 0 / 0

Objetos sospechosos 0

Duración del análisis 00:36:21



Bombre del objeto infectado Nombre del virus Última acción

C:\Documents and Settings\All Users\Datos de programa\Symantec\SRTSP\LightningSand.CFD Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\Symantec\SRTSP\SrtETmp\97ECAC03.TMP Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\Symantec\SRTSP\SrtETmp\E2EA5C06.TMP Object is locked saltado



C:\Documents and Settings\Diana\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado



C:\Documents and Settings\Diana\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Diana\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado



C:\Documents and Settings\Diana\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\Diana\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\Diana\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Diana\Configuración local\Historial\History.IE5\MSHist012008100820081009\index.dat Object is locked saltado



C:\Documents and Settings\Diana\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\Diana\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\Diana\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado



C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado



C:\System Volume Information\_restore{8623A45A-515B-4D6A-9DF6-BF1682C2119A}\RP4\change.log Object is locked saltado



C:\WINDOWS\CSC\00000001 Object is locked saltado



C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\default Object is locked saltado



C:\WINDOWS\system32\config\default.LOG Object is locked saltado



C:\WINDOWS\system32\config\Internet.evt Object is locked saltado



C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado



C:\WINDOWS\system32\config\OSession.evt Object is locked saltado



C:\WINDOWS\system32\config\SAM Object is locked saltado



C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\SECURITY Object is locked saltado



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado



C:\WINDOWS\system32\config\software Object is locked saltado



C:\WINDOWS\system32\config\software.LOG Object is locked saltado



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\system Object is locked saltado



C:\WINDOWS\system32\config\system.LOG Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado



Análisis completado.





¿ Cual es su opinión ?



Reciba un gran saludo, Gavilancolorao



Mi navegador Mozilla está totalmente inoperante pero tal vez esto sea para otro post, no sé

[gavilancolorao]

Trojan Zlob=falso positivo OK

[msc hotline sat]

Sí la deteccion la hizo en el ELISTARA, EFECTIVAMENTE SE TRATA DE UN FALSO POSITIVO.



Pero lo importante:



Virus encontrados 0

Objetos infectados 0 / 0

Objetos sospechosos 0



Al parecer ya estás limpio. Mira si tras reiniciar persiste alguna anomalia o de lo contrario ya procederemos a dar por solucionado el Tema, :wink:



saludos



ms, 9-10-2008

[gavilancolorao]

Si. Demos por solucionado el tema. Gracias por su maravillosa ayuda.



Saludos de Gavilancolorao

[msc hotline sat]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 9-10-2008