messenger infectado (SOLUCIONADO)

[ricardo35]

hola

me descargue un skript para mi messenger y creo que me infecto el menseeger,porque cuando estoy chateando con un contacto se me cierra automaticamente el messenger y no me deja chatearS

[msc hotline sat]

Prueba el ELISTARA y nos comnetas el resultado:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



saludos



ms, 2-1-2009

[ricardo35]

AQUI HOS DEJO EL RESULTADO QUE ME DIO EL ELISTARA:



Fri Jan 02 14:39:30 2009

EliStartPage v17.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 31 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SERVICES.EXE --> Eliminado Trojan.Crypt.CFI

C:\Documents and Settings\Administrator\Favoritos\Online Security Test.url --> Eliminado (Fichero Complementario).

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "Services"="C:\WINDOWS\services.exe"

Eliminada Class, "{51D81DD5-55B7-497F-95DB-D356429BB54E}" -> C:\Program Files\NetProject\wamdl.dll

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

ShellExecute=Info.exe protect.ed 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Fri Jan 02 14:42:49 2009

EliStartPage v17.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 31 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\Administrator\Escritorio\L2008PROMOONS3M_MULTIIDIOMA.EXE --> Eliminado, Frauder.KG

C:\Documents and Settings\Administrator\Escritorio\Nod32 Bussiess Fix2029\ESETFIX_2029_3.1.EXE --> Eliminado, Frauder.KG

C:\Program Files\Microsoft Works\WKDBOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\Program Files\Microsoft Works\WKSSOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\SWSetup\MSWorks\SP\PFiles\MSWorks\WKDBOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\SWSetup\MSWorks\SP\PFiles\MSWorks\WKSSOLE.DLL --> Eliminado, ZangoSA (BHO)



Nº Total de Directorios: 8212

Nº Total de Ficheros: 75211

Nº de Ficheros Analizados: 22818

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 6



Fri Jan 02 15:11:52 2009

EliStartPage v17.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 31 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 8213

Nº Total de Ficheros: 75295

Nº de Ficheros Analizados: 22812

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[lucl]

Pues envianos esto que te pide el infosat





Detectado AUTORUN.INF en la Unidad (D)

ShellExecute=Info.exe protect.ed 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



y actualiza el sp3 que es muy importante, saludos





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[ricardo35]

DONDE LO ENCUENTRO? LO QUE ME PIDE EL INFOSAT?

NO SE LO QUE QUIERES DECIR CON ACTUALIZAR EL SP3

NO VEO NINGUN ARCHIVO EN LA UNIDAD D YA QUE HAY UNA CARPETA ENCRIPTADA Y NO ME PERMITE ABRIRLA

[flacoroo]

abre una página de internet, en el menu de la parte de arriba en herramientas, le das un click se abrira un menu buscas donde diga windows update, ahi entras y le dices bajar actualizaciones e instalas todos.....

[ricardo35]

NORMALMENTE USO EL OPERA COMO NAVEGADOR PRINCIPAL Y LA OPCION DE WINDOWS UPDATE NO APARECE,SIN EMBARGO EN EL EXPLORER SI.

LE DI A ACTUALIZAR Y SE ME INSTALO LA NUEVA VERSION DEL EXPLORER

[msc hotline sat]

Pues si tras lo indicado aun persisten problemas, lanza este AV ONLINE y posteanos el informe resultante:





[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.



(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)





NOTA: Parece ser que ultimamente este link da LICENCIA CADUCADA, probar este otro:



http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...





saludos



ms, 3-1-2009

[ricardo35]

HOLA AMIGOS ESTE ES EL RESULTADO DEL SCANEO DEL KARPESKY:



NER 7 REPORT

Saturday, January 3, 2009

Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Saturday, January 03, 2009 10:03:19

Records in database: 1553339



Scan settings

Scan using the following database extended

Scan archives yes

Scan mail databases yes



Scan area My Computer

C:\

D:\

E:\

F:\



Scan statistics

Files scanned 82521

Threat name 2

Infected objects 2

Suspicious objects 0

Duration of the scan 02:24:54



File name Threat name Threats count

C:\Documents and Settings\Administrator\Configuración local\Datos de programa\utnergj.exe.vir Infected: Trojan.Win32.Obfuscated.aqn 1



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\3EBE526E.gtr Infected: Trojan-Mailfinder.Win32.VB.ah 1

[msc hotline sat]

Pues los dos que detecta ya tienen extension no ejecutable, con lo cual no afectan...



C:\Documents and Settings\Administrator\Configuración local\Datos de programa\utnergj.exe.vir Infected: Trojan.Win32.Obfuscated.aqn 1



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\3EBE526E.gtr Infected: Trojan-Mailfinder.Win32.VB.ah 1





De todas formas envianos dichos ficheros para analizar y controlar, asi aseguraremos el tiro:


[quote]
C:\Documents and Settings\Administrator\Configuración local\Datos de programa\utnergj.exe.vir



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\3EBE526E.gtr[/quote]



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 3-1-2009

[ricardo35]

no encuentro los ficheros el elistara o el karpesky los debio de borrar

no soy capaz de encontrarlos

[lucl]

Echa un vistazo a este link y trata de volver a encontrarlos saludos





https://foros.zonavirus.com/viewtopic.php?f=5&t=13245

[ricardo35]

tras modificar la configuracion de archivos ocultos ¿hace falta reiniciar?

lo digo porque sigo sin poderlos ver los archivos

aunque de momento no me a vuelto a ocurrir

[msc hotline sat]

Y no los ha borrado el ELISTARA porque lo pasaste un dia antes que el AV ONLINE, y este ultimo los detectó...



Y el AV ONLINE en cuestion no elimina nada, solo informa.



Y si no los encuentras , prueba con el ELIMOVER , copiando y pegando las dos lineas (una por una) y ello los moverá a C:\muestras\ , a donde te será mas facil acceder



ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp





saludos



ms, 4-1-2009

[ricardo35]

hola

hos acabo de enviar los archivos que encontre en la carpeta de muestras

gracias

[msc hotline sat]

Pues ahora ya no incordiaran, ya que el ELIMOVER los ha movido a dicha carpeta C:\muestras, sacandolos de donde estaban



Y el miercoles, cuando reentremos a trabajar en SATINFO, los analizaremos e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



saludos



ms, 5-1-2009

[ricardo35]

gracias amigos



estare al tanto de vuestras gestiones

[msc hotline sat]

Pues si los has enviado conforme indicamos, mañana lo vemos y, al tratarse de troyamos, impleemntaremos su conbtrol y eliminacion en el ELISTARA, de lo cual informaremos



saludos



ms, 6-1-2009

[msc hotline sat]

Analizadas las muestras, la primera es un NAVIPROMO que pasamos a controlar con la version de hoy del ELISTARA, y el otro de extension .GTR es un malware cifrado con XOR FF por Symantec, y que una vez descifrado lo controla ya el ELISTARA actual.



Así que a partir de las 19 h descarga el ELISTARA 17.74 y pruebalo, que eliminará las claves y ficheros que hubiera relacionados, y luego ya puedes borrar este .GTR (el otro debe ser eliminado por el ELISTARA)



saludos



ms, 7-1-2009

[ricardo35]

HOLA

DECIROS QUE VOLVI A ANALIZAR LOS ARCHIVOS CON EL ELISTARA Y ESTE FUE EL RESULTADO:





Mon Jan 05 11:09:47 2009

EliMover v1.0 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\Documents and Settings\Administrator\Configuración local\Datos de programa\utnergj.exe.vir" -> Copiado a "C:\Muestras"

Fichero: "C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\3EBE526E.gtr" -> Copiado a "C:\Muestras"

Fichero: "C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\3EBE526E.gtr" -> Copiado a "C:\Muestras"

Fichero: "C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\3EBE526E.gtr" -> Renombrado a .VIR



Wed Jan 07 20:31:03 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

ShellExecute=Info.exe protect.ed 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Wed Jan 07 20:31:27 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\Administrator\Configuración local\Datos de programa\UTNERGJ.EXE.VIR --> Eliminado, NaviPromo(dropper)

C:\Muestras\UTNERGJ.EXE.VIR.MUESTRA ELIMOVER V1.0 --> Eliminado, NaviPromo(dropper)

C:\Program Files\WebcamMax\WCMMON.EXE --> Eliminado, Affilred (BHO)

C:\RECYCLER\S-1-5-21-1233958097-3157897370-2346852542-500\Dc64\AUTORUN.INF --> Eliminado, AutoRun.AAJ(inf)



Nº Total de Directorios: 8426

Nº Total de Ficheros: 80467

Nº de Ficheros Analizados: 23396

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4

[lucl]

Pues elistara te dice esto



Detectado AUTORUN.INF en la Unidad (D)

ShellExecute=Info.exe protect.ed 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Si la conoces nos lo dices y asi damos el tema por solucionado en caso de que tu pc este bien ya , nos comentas saludos

[ricardo35]

si la aplicacion si que la conozco

podeis dar por cerrado el tema

muchas gracias

[lucl]

Muy bien pues entonces cerramos el tema dandolo por solucionado saludos

[msc hotline sat]

NOTA POSTCIERRE:



Y vemos [b][i]"No detectado SP3 de Windows XP"[/i][/b]



Debe lanzar un windowsupdate e instalar el SP3 y posteriores criticos como MS08-067 y MS08-078



Aparte, dado que se detectí y eliminó este:



C:\RECYCLER\S-1-5-21-1233958097-3157897370-2346852542-500\Dc64\AUTORUN.INF --> Eliminado, AutoRun.AAJ(inf)



que es propio de propagarse a traves de pendrive, vacune con el ELIPEN ordenadores y pendrives:






[quote]Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 8-1-2009