Troyano gamethief (SOLUCIONADO)

enproblemas · Mensaje por **enproblemas** » 16 Dic 2008, 21:14

Desde hace unos días mi conexión a internet es muy lenta y de vez en cuando el ordenador se desconecta de internet. He pasado varios antivirus al ordenador, algunos no me detectan nada y otros me detectan un troyano pero no pueden eliminarlo.

He pasado el kaspersky online y me dice que tengo el troyano Gamethief.win32.wow.dkw . No sé qué hacer para solucionarlo.

Adjunto copia del archivo infosat.txt y del informe del kasperky.

Muchas gracias de antemano.

Tue Dec 16 19:10:31 2008

EliStartPage v17.63 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Tue Dec 16 19:10:43 2008

EliStartPage v17.63 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 6285

Nº Total de Ficheros: 67542

Nº de Ficheros Analizados: 15700

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Dec 16 19:23:36 2008

EliTriIP v5.38 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Diciembre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Tue Dec 16 19:23:44 2008

EliTriIP v5.38 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Diciembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 6275

Nº Total de Ficheros: 67504

Nº de Ficheros Analizados: 14724

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tuesday, December 16, 2008

Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Tuesday, December 16, 2008 16:38:35

Records in database: 1466157

Scan settings

Scan using the following database extended

Scan archives yes

Scan mail databases yes

Scan area Folder

C:\WINDOWS\system32

Scan statistics

Files scanned 6415

Threat name 1

Infected objects 1

Suspicious objects 0

Duration of the scan 00:16:05

File name Threat name Threats count

C:\WINDOWS\system32\wow13_336.dll Infected: Trojan-GameThief.Win32.WOW.dkw 1

Mensaje por **lucl** » 16 Dic 2008, 22:09

Pues busca el archivo

C:\WINDOWS\system32\wow13_336.dll

y renombralo a .VIR y envianoslo para su analisis

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y actualiza el pc pues te falta el sp3 y es muy importante saludos

enproblemas · Mensaje por **enproblemas** » 16 Dic 2008, 23:17

Ya he enviado la muestra. De momento no puedo actualizar el PC porque se desconecta de internet cada 2 por 3.

Gracias!

Mensaje por **msc hotline sat** » 17 Dic 2008, 06:47

Pues tan pronto entremos a trabajar en SATINFO, veremos las muestras recibidas y las analizaremos e implemnentaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos

Y como bien te indica lucl, tan pronto se haya controlado este malware y solucionado el problema del ordenador, actualiza los parches lanzando un windowsupdate e instalando el SP3 y posteriores

saludos

ms, 17-12-2008

Mensaje por **msc hotline sat** » 17 Dic 2008, 13:46

En un primer preanalisis vemos que se trata de un nuevo malware que aun no detectan ni Kaspersky ni NOD32

[quote=VirusTotal]File wow876_638.dll received on 12.15.2008 22:31:49 (CET)

Current status: finished

Result: 11/38 (28.95%)

Compact Print results

Antivirus Version Last Update Result

AhnLab-V3 2008.12.16.0 2008.12.15 Win-Trojan/WowHack.98304.R

AntiVir 7.9.0.45 2008.12.15 -

Authentium 5.1.0.4 2008.12.15 W32/Heuristic-KPP!Eldorado

Avast 4.8.1281.0 2008.12.15 -

AVG 8.0.0.199 2008.12.15 -

BitDefender 7.2 2008.12.15 Generic.Malware.PVPkWk!g.DE651583

CAT-QuickHeal 10.00 2008.12.15 -

ClamAV 0.94.1 2008.12.15 -

Comodo 760 2008.12.15 -

DrWeb 4.44.0.09170 2008.12.15 Trojan.PWS.Wow.1081

eSafe 7.0.17.0 2008.12.15 -

eTrust-Vet 31.6.6261 2008.12.15 -

Ewido 4.0 2008.12.15 -

F-Prot 4.4.4.56 2008.12.15 W32/Heuristic-KPP!Eldorado

F-Secure 8.0.14332.0 2008.12.15 -

Fortinet 3.117.0.0 2008.12.14 -

GData 19 2008.12.15 Generic.Malware.PVPkWk!g.DE651583

Ikarus T3.1.1.45.0 2008.12.15 Trojan-GameThief.Win32.WOW

K7AntiVirus 7.10.554 2008.12.15 -

Kaspersky 7.0.0.125 2008.12.15 -

McAfee 5465 2008.12.15 -

McAfee+Artemis 5465 2008.12.15 -

Microsoft 1.4205 2008.12.15 PWS:Win32/Wowsteal.AH!dll

NOD32 3694 2008.12.15 -

Norman 5.80.02 2008.12.15 -

Panda 9.0.0.4 2008.12.15 -

PCTools 4.4.2.0 2008.12.15 -

Prevx1 V2 2008.12.15 -

Rising 21.08.02.00 2008.12.15 Trojan.PSW.Win32.WoWar.axn

SecureWeb-Gateway 6.7.6 2008.12.15 -

Sophos 4.36.0 2008.12.15 Mal/GamePSW-C

Sunbelt 3.2.1801.2 2008.12.10 -

Symantec 10 2008.12.15 -

TheHacker 6.3.1.4.188 2008.12.14 -

TrendMicro 8.700.0.1004 2008.12.15 -

VBA32 3.12.8.10 2008.12.15 -

ViRobot 2008.12.15.1518 2008.12.15 Trojan.Win32.PSWWow.98704

VirusBuster 4.5.11.0 2008.12.15 -

Additional information

File size: 98304 bytes

MD5...: 4363200c3ffe02e7b21c36c5da8ada43

SHA1..: d420f632e567a9f3156e27b367fc7588ddd80c5a [/quote]

Esta tarde lo monitorizaremos y posiblemente lo implementaremos en el ELISTARA 17.68 de hoy, ya que al parecer se trata de una variante del PWS WOW, de lo cual informaremos

saludos

ms, 17-12-2008

enproblemas · Mensaje por **enproblemas** » 17 Dic 2008, 14:27

El kaspersky online scanner sí detectó el troyano.

Esperaré vuestra respuesta. Muchas gracias.

Mensaje por **msc hotline sat** » 17 Dic 2008, 15:19

Efectivamente, en el impass del analisis anterior al de ahora, vemos que ya lo han implementado:

[quote="ViusTotal"]File wow13_336.dll.vir received on 12.17.2008 15:11:59 (CET)

Result: 15/38 (39.48%)

Antivirus Version Last Update Result

AhnLab-V3 2008.12.17.3 2008.12.17 Win-Trojan/WowHack.98304.R

AntiVir 7.9.0.45 2008.12.17 TR/Thief.Wow.dkw

Authentium 5.1.0.4 2008.12.17 W32/Heuristic-KPP!Eldorado

Avast 4.8.1281.0 2008.12.17 -

AVG 8.0.0.199 2008.12.17 -

BitDefender 7.2 2008.12.17 Generic.Malware.PVPkWk!g.DE651583

CAT-QuickHeal 10.00 2008.12.17 -

ClamAV 0.94.1 2008.12.17 -

Comodo 771 2008.12.17 -

DrWeb 4.44.0.09170 2008.12.17 Trojan.PWS.Wow.1081

eSafe 7.0.17.0 2008.12.16 -

eTrust-Vet 31.6.6265 2008.12.17 -

Ewido 4.0 2008.12.17 -

F-Prot 4.4.4.56 2008.12.17 W32/Heuristic-KPP!Eldorado

F-Secure 8.0.14332.0 2008.12.17 Trojan-GameThief.Win32.WOW.dkw

Fortinet 3.117.0.0 2008.12.17 W32/GamePSW.C

GData 19 2008.12.17 Generic.Malware.PVPkWk!g.DE651583

Ikarus T3.1.1.45.0 2008.12.17 Trojan-GameThief.Win32.WOW

K7AntiVirus 7.10.556 2008.12.17 -

Kaspersky 7.0.0.125 2008.12.17 Trojan-GameThief.Win32.WOW.dkw

McAfee 5466 2008.12.16 -

McAfee+Artemis 5466 2008.12.16 -

Microsoft 1.4205 2008.12.17 PWS:Win32/Wowsteal.AH!dll

NOD32 3698 2008.12.17 -

Norman 5.80.02 2008.12.16 -

Panda 9.0.0.4 2008.12.17 -

PCTools 4.4.2.0 2008.12.17 -

Prevx1 V2 2008.12.17 -

Rising 21.08.22.00 2008.12.17 Trojan.PSW.Win32.WoWar.axn

SecureWeb-Gateway 6.7.6 2008.12.17 Trojan.Thief.Wow.dkw

Sophos 4.37.0 2008.12.17 Mal/GamePSW-C

Sunbelt 3.2.1801.2 2008.12.11 -

Symantec 10 2008.12.17 -

TheHacker 6.3.1.4.189 2008.12.16 -

TrendMicro 8.700.0.1004 2008.12.17 -

VBA32 3.12.8.10 2008.12.16 -

ViRobot 2008.12.17.1523 2008.12.17 -

VirusBuster 4.5.11.0 2008.12.16 -

Additional information

File size: 98304 bytes

MD5...: 4363200c3ffe02e7b21c36c5da8ada43

SHA1..: d420f632e567a9f3156e27b367fc7588ddd80c5a [/quote]

Sin duda se trata de un malware muy reciente, ya que lo acaban de controlar, como nosotros :mrgreen:

Pues espero que con el ELISTARA 17.64 de hoy lo soluciones

saludos

ms, 17-12-2008

enproblemas · Mensaje por **enproblemas** » 18 Dic 2008, 08:36

Problema solucionado! Con la última versión del ELISTARA se eliminó el dichoso troyano.

Muchísimas gracias, de verdad!! Habéis sido muy atentos y "eficaces", jeje (He estado a punto de formatear el ordenador...si no hubiese sido por vosotros)

Mensaje por **lucl** » 18 Dic 2008, 08:57

Formatear es algo que aqui evitamos a toda costa. Si no te importa antes de dar el tema por solucionado peganos el log de infosat.txt para que quede en el historico del foro gracias saludos

enproblemas · Mensaje por **enproblemas** » 18 Dic 2008, 23:17

Aquí está: (siento el retraso)

Wed Dec 17 19:35:16 2008

EliStartPage v17.64 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\WINDOWS\system32"

C:\WINDOWS\system32\WOW13_336.DLL --> Acceso Denegado, PWS-WoW.DKW (Reiniciar para Completar la Limpieza)

Nº Total de Directorios: 211

Nº Total de Ficheros: 6450

Nº de Ficheros Analizados: 4760

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0

Wed Dec 17 19:37:44 2008

EliStartPage v17.64 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Wed Dec 17 19:38:05 2008

EliStartPage v17.64 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\WINDOWS\system32"

C:\WINDOWS\system32\WOW13_336.DLL.VIR --> Eliminado, PWS-WoW.DKW

Nº Total de Directorios: 211

Nº Total de Ficheros: 6450

Nº de Ficheros Analizados: 4760

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Wed Dec 17 19:41:24 2008

EliStartPage v17.64 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE

Wed Dec 17 19:42:18 2008

EliStartPage v17.64 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\RECYCLER\S-1-5-21-1757981266-57989841-682003330-1003\DC40.VIR --> Eliminado, PWS-WoW.DKW

Nº Total de Directorios: 6405

Nº Total de Ficheros: 64166

Nº de Ficheros Analizados: 15681

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Mensaje por **msc hotline sat** » 19 Dic 2008, 06:19

Efectivamente, no tan solo hemos eliminado el fichero de su ubicacion normal, sino incluso de la papelera, en la que por lo visto habia ido a parar:

C:\WINDOWS\system32\WOW13_336.DLL.VIR --> Eliminado, PWS-WoW.DKW

C:\RECYCLER\S-1-5-21-1757981266-57989841-682003330-1003\DC40.VIR --> Eliminado, PWS-WoW.DKW

Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 19-12-2008

Troyano gamethief (SOLUCIONADO)

Troyano gamethief (SOLUCIONADO)

Re: Troyano gamethief

Re: Troyano gamethief

Re: Troyano gamethief

Re: Troyano gamethief

Re: Troyano gamethief

Re: Troyano gamethief

Re: Troyano gamethief

Re: Troyano gamethief

Re: Troyano gamethief

Re: Troyano gamethief