Virus por Messenger

[alejandrovazuezmx]

Hola les envio una muestra de un virus transmitido por el messenger lo detecto Elitriip



Gracias



Anexo infosat



Mon Nov 10 12:21:26 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\AVPO.EXE --> Eliminado PWS-OnLineGames.AVPO

C:\WINDOWS\SYSTEM32\AVPO0.DLL --> PWS-OnLineGames.AVPO Renombrado a .VIR

Entrada Eliminada [HKCU\...\Run] "avpa"="C:\WINDOWS\system32\avpo.exe"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Mon Nov 10 12:22:18 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\AUTORUN.INF --> Eliminado, PWS-OnLineGames.AVPO(inf)

C:\NTDE1ECT.COM --> Eliminado, PWS-OnLineGames.AVPO

C:\WINDOWS\system32\AVPO0.DLL.VIR --> Acceso Denegado, PWS-OnLineGames.AVPO (Reiniciar para Completar la Limpieza)



Nº Total de Directorios: 3040

Nº Total de Ficheros: 42964

Nº de Ficheros Analizados: 12801

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 2



Mon Nov 10 12:44:59 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Nov 10 12:45:31 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\AVPO0.DLL.VIR.VIR --> Eliminado, PWS-OnLineGames.AVPO



Nº Total de Directorios: 3040

Nº Total de Ficheros: 42962

Nº de Ficheros Analizados: 12799

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Mon Nov 10 14:04:27 2008

EliTriIP v5.21 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FXSTALLER.EXE.Muestra EliTriIP v5.21

a "virus@satinfo.es". Gracias.

C:\WINDOWS\FXSTALLER.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Windows UDP Control Center"="fxstaller.exe"

No detectado SP3 de Windows XP



Mon Nov 10 14:04:34 2008

EliTriIP v5.21 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3043

Nº Total de Ficheros: 43017

Nº de Ficheros Analizados: 12239

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[lucl]

Pues muchas gracias, mañana te diran algo al respecto sobre el envio estate atento al post, saludos

[msc hotline sat]

Estás usando un ELITRIIP antiguo, 5.21, y el actual es la 5.23:



https://foros.zonavirus.com/post147440.html?hilit=FXSTALLER.EXE#p147440



Siempre se ha de probar la última version existente...



Con la actual se controlan nuevas variantes del FXSTALLER...:


[quote]ELITRIIP



---v5.23---(10 de Noviembre del 2008) (Muestras de BackDoor.FakeViewer "FXSTALLER.EXE" y Traspaso del Malware.Ndisio al EliStarA)[/quote]

Pruebalo y nos posteas el c:\infosat.txt resultante, gracias



saludos



ms, 11-11-2008

ref MX/Nau19.4-99.2

[msc hotline sat]

Analizadas las muestras enviadas, hemos implementadop VUNDOS, CONHOOK, FLUSH y demas en la version de hoy del ELISTARA 17.39



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



Aparte el FXSTALLER que ya se controla con el ELITRIIP actual 5.23



Tras probarlos, nos comenta el resultado, gracias



saludos



ms, 11-11-2008