PROCESOS DUDOSOS (SOLUCIONADO)

[angeltom]

Buenos días:

Esta mañana me ha traido un compañero su portatil para instalarle unas cosillas y revisando los procesos me encuentro con algunos como EXPLORERR.EXE, IEXPLORER.EXE Y RUNDDL32.EXE. Son los más dudosos que veo, no se si alguno de los otros será malo. ¿Por donde puedo empezar? Gracias.

[msc hotline sat]

[img]http://www.inklineglobal.com/adsales/ads/arrow.gif[/img] [b]NOTA IMPORTANTE :[/b]



Con el buscador del foro se pueden encontrar inmediatas respuestas ONLINE a Temas similares ya solucionados. Se recomienda usarlo



https://foros.zonavirus.com/search.php



Asi que, aplicarse el cuento:



[img]http://www.satinfo.es/zonavirus/buscarforo.jpg[/img]









NOTA: Y en https://foros.zonavirus.com/viewtopic.php?f=11&t=21804&start=0


[quote]---v12.60-(27 de Octubre del 2006) (Muestras de (3)Vundo(notify), (3)Desktoper "RUNDDLL32.EXE, IEXPLORER.EXE y EXPLORERR.EXE" y fichero "RQQSND.EXE") [/quote]

se ve que desde la version 12.60 el ELISTARA controla ficheros con estos nombres, asi que prueba la version actual de dicha utilidad, y si no los detecta envianos muestras de los mismos, que pueden ser nuevas variantes no controladas.



saludos



ms, 30-12-2008

[msc hotline sat]

Analizada la muestra enviada, pasamos a controlarla como NAVIPROMO en la proxima version ELISTARA 17.72 de hoy




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





saludos y FELIZ AÑO NUEVO



ms, 31-12-2008

[angeltom]

Solucionado. Muchas gracias de nuevo.

[lucl]

Bien `pues cerramos el tema pero para otra vez recordad pegarnos el log de infosat saludos

[msc hotline sat]

Nos interesa especialmente el infosat.txt en esta ocasion, dado que estaba por ver el control de los ficheros inciiales (EXPLORERR.EXE, IEXPLORER.EXE Y RUNDDL32.EXE) asi como el de la muestra que identificamos como NAVIPROMO, asi que reabro el Tema para que su autor pueda añadirnos dicho informe, gracias



saludos



ms, 7.1.2009

Ref SP/M/+40.4-3.7

[angeltom]

Procedo a postear el infosat de las muestras que envie ayer analizadas con el elistara 17.74. Puede ser que falte alguna, porque hoy el antivirus ha eliminado varios archivos. Buscare el informe y lo posteare tambien para comprobar que se han eliminado todos los que guardo el elistara para muestras. Gracias y un saludo.

Wed Jan 07 19:34:54 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Jan 07 19:34:58 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\RECYCLER\S-1-5-21-854245398-2147243427-725345543-1004\Dc33\FRMWRK32.EXE.MUESTRA ELISTARTPAGE V17.73 --> Eliminado, FakeAlert

C:\RECYCLER\S-1-5-21-854245398-2147243427-725345543-1004\Dc33\GEBTKBXQ.DLL.MUESTRA ELISTARTPAGE V17.73 --> Eliminado, DownLoader.ConHook(notify)

C:\RECYCLER\S-1-5-21-854245398-2147243427-725345543-1004\Dc33\LWQDGQCN.DLL.MUESTRA ELISTARTPAGE V17.73 --> Eliminado, Vundo5



Nº Total de Directorios: 5786

Nº Total de Ficheros: 85173

Nº de Ficheros Analizados: 16748

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

[msc hotline sat]

Pues muy bien, ya casi podriamos cerrar el Tema, pero ya que nos ofrece el log de la eliminacion con el antivirus, en él indiquenos i ya no persiste ninguna anomalia y podemos dar por solucionado el Tema, gracias



saludos



ms, 8-1-2009

[angeltom]

ESTE ES EL INFOSAT DE LOS PROCESOS CON LOS QUE COMENZE EL TEMA ESTE. TAMBIEN SE HA QUEDADO TODO SOLUCIONADO. EN BREVE PUBLICO EL INFORME DEL ANTIVIRUS Y SE PUEDE DAR POR FINALIZADO. GRACIAS.



Tue Dec 30 19:57:32 2008

EliStartPage v17.71 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\RUNDDLL32.EXE --> Eliminado Desktoper

C:\WINDOWS\SYSTEM32\EXPLORERR.EXE --> Eliminado Desktoper

C:\PROGRA~1\BANDOO\BNDHOOK.DLL --> Eliminado

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Sospechosa Clave "HKLM\...\Image File Execution Options\IEInstal.exe"

"Debugger"="NULL1"

Página de Inicio de IE, "http://www.mbuscas.com" --> Eliminada

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Dec 30 19:58:50 2008

EliStartPage v17.71 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Program Files\Hp\QuickPlay\QT3SUPPORT4.DLL --> Eliminado, ISTBar

C:\Users\Cecilia\AppData\Local\Windows Live Writer\ResourceCache\WindowsLive\Writer\CoreServices\Marketization\MASTER.XML --> Eliminado, MalWare.Celular



Nº Total de Directorios: 22853

Nº Total de Ficheros: 185659

Nº de Ficheros Analizados: 54692

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Fri Jan 02 16:45:09 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Sospechosa Clave "HKLM\...\Image File Execution Options\IEInstal.exe"

"Debugger"="NULL1"

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Jan 02 16:45:20 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\UJXELAP.EXE.MUESTRA ELISTARTPAGE V17.71 --> Eliminado, NaviPromo(dropper)



Nº Total de Directorios: 22935

Nº Total de Ficheros: 185915

Nº de Ficheros Analizados: 54746

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[angeltom]

Este es el reporte del antivirus que va relacionado con el primer infosat que publique en el que dije que no habia eliminado todos debido a que el antivirus habia eliminado algunos. Por mi parte, todo solucionado. Gracias de nuevo y un saludo.



01/07/2009 13:01

Escanear todas las unidades locales



El archivo C:\Archivos de programa\RealAV\RealAV.exe se encuentra infectado por Win32:FakeAV-AA [Trj], Eliminado

El archivo C:\Documents and Settings\Administrador\Escritorio\ELISTARA.AAABB%D8%D8H.EXE\[UPX] se encuentra infectado por Win32:Small-CPR [Trj], Eliminado

El archivo C:\Documents and Settings\Administrador\Escritorio\ELISTARA.AB%D8AB%D8%D8I.EXE\[UPX] se encuentra infectado por Win32:Small-CPR [Trj], Eliminado

El archivo C:\WINDOWS\system32\kqvbcvkq.dll se encuentra infectado por Win32:Monder-GB [Trj], Eliminado

El archivo C:\WINDOWS\system32\pzczyx.dll se encuentra infectado por Win32:Monder-GB [Trj], Eliminado

El archivo H:\ELISTARA.AAABB%D8%D8H.EXE\[UPX] se encuentra infectado por Win32:Small-CPR [Trj], Eliminado

Carpetas escaneadas: 5840

Archivos comprobados: 86226

Archivos infectados: 6

[msc hotline sat]

Well done !



Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 9-1-2009

[msc hotline sat]

postcierre:



hemos recibido nuevas muestras con VUNDO que ya analizaremos y si no se controlan, implementaremos su control y eliminacion en el proximo ELISTARA.



Si tienes algun problema nuevo, abre Tema al efecto.



saludos



ms, 12-1-1009

[msc hotline sat]

Aparte una muestra recibida hoy con un SVCHOST muestra pedida por el ELISTARA, pasamos a controlarla con el ELITRIIP de hoy 5.49 que ya está disponible en esta web.




[quote]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]

Pruebala y nos informa



saludos



ms, 26-1-2009