exxxplorer.exe :la conexión a internet se cae (TERMINADO)

[pollastreraul]

Buenas,

Desde hace dos días me aparece en la pantalla del ordenador la típica ventana de Windows de “el siguiente programa no funciona y debe cerrarse…”. El tema es que me habla de dos programas (o lo que sean) que no conozco: exxxplorer.exe y Exredr.exe. La cosa no sería más grave si no fuera porque además el acceso a internet se me cae constantemente: le doy al botón de conectar, abro un navegador cualquiera (Firefox o Chrome) y paf!, la conexión se cae. Le vuelvo a dar a conectar, se conecta, vuelvo a abrir el navegador (o a recargar un a página) y se vuelve a caer la conexión.

Como imaginareis es bastante desesperante.

¿Alguien tiene idea de qué pasa y de qué podría hacer?

Gracias.

Un abrazo.

Ah!, Lo olvidaba, desde hace un par de meses, el reloj del ordenador pierde la hora: cada vez que lo enciendo aparece a las 00 horas del 25 de Octubre de 2006. Quizá tiene algo que ver...Saludos. 

Lo olvidaba: mi sistema operativo es Windows XP.

[msc hotline sat]

Lo del reloj es probable que no tenga nada que ver, simplemente pila del CMOS agotada, pruebe de cambiarla.



Y con un Inicio -> Buscar, busqye estos ficheros y envienos para analizar:



exxxplorer.exe y Exredr.exe





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





saludos



ms, 22-1-2009

[pollastreraul]

Gracias por la rápida respuesta!

Lo haré tan rápido como pueda (que no será mucho :x )

Un saludo cordial.

[msc hotline sat]

Tan pronto lo recibamos será analizado, pero mientars, he buscado informacion con el primer nombre y he visto que efectivamente hay un malware ya controlado por algunos:


[quote]
Scanned time : 2009/01/22 12:45:38 (CET)

Scanner results: 43% Escaner (16/37) encontró infección

[b][i]File Name : Exredr.exe[/i][/b]

File Size : 49196 byte

File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit

MD5 : 3af4de5bd2adc0b11ee464478c269e57

SHA1 : 097c2df8c49a7f35d122ac1ed3b9522a8fd518e5





Scanner Engine Ver Sig Ver Sig Date Time Scan result

a-squared 4.0.0.29 20090122000149 2009-01-22 2.94 Trojan-Dropper.Win32.VB!IK

AhnLab V3 2009.01.22.02 2009.01.22 2009-01-22 1.18 Win-Trojan/Buzus.49196

AntiVir 7.9.0.57 7.1.1.164 2009-01-22 1.83 TR/Drop.VB.imc.3

Antiy 2.0.18 20090118.2063925 2009-01-18 0.02 -

Authentium 5.1.1 200901212119 2009-01-21 1.08 -

AVAST! 3.0.1 090121-0 2009-01-21 0.01 -

AVG 7.5.52.442 270.10.12/1909 2009-01-22 1.86 VB.GCZ

BitDefender 7.81008.2572001 7.23275 2009-01-22 2.36 -

CA (VET) 9.0.0.143 31.6.6321 2009-01-22 12.07 -

ClamAV 0.94.2 8889 2009-01-22 0.02 -

Comodo 3.0 940 2009-01-21 1.08 -

CP Secure 1.1.0.715 2009.01.22 2009-01-22 6.73 -

Dr.Web 4.44.0.9170 2009.01.22 2009-01-22 3.87 Trojan.Inject.5089

F-Prot 4.4.4.56 20090121 2009-01-21 1.08 -

F-Secure 5.51.6100 2009.01.22.09 2009-01-22 4.40 Trojan-Dropper.Win32.VB.imc [AVP]

Fortinet 2.81-3.117 9.936 2009-01-22 0.34 -

GData 19.2550/19.194 20090122 2009-01-22 4.92 Trojan-Dropper.Win32.VB.imc [Engine:A]

ViRobot 20090122 2009.01.22 2009-01-22 0.41 Dropper.VB.49197

Ikarus T3.1.01.45 2009.01.22.72192 2009-01-22 3.63 Trojan-Dropper.Win32.VB

JiangMin 11.0.706 2009.01.21 2009-01-21 2.39 -

Kaspersky 5.5.10 2009.01.22 2009-01-22 0.04 Trojan-Dropper.Win32.VB.imc

KingSoft 2008.9.8.18 2009.1.22.18 2009-01-22 0.61 Win32.VirInstaller.VB.40960

McAfee 5.3.00 5502 2009-01-21 2.94 -

Microsoft 1.4205 2009.01.22 2009-01-22 7.50 VirTool:Win32/Eicrypt.A

mks_vir 2.01 2009.01.22 2009-01-22 2.68 -

Norman 5.93.01 5.93.00 2009-01-20 6.73 -

Panda 9.05.01 2009.01.21 2009-01-21 4.00 -

Trend Micro 8.700-1004 5.786.02 2009-01-22 0.02 TROJ_DIALER.AGO

Quick Heal 10.00 2009.01.22 2009-01-22 2.32 -

Rising 20.0 21.13.32.00 2009-01-22 2.13 -

Sophos 2.82.1 4.37 2009-01-22 2.40 -

Sunbelt 4756 4756 2009-01-08 0.54 -

Symantec 1.3.0.24 20090121.003 2009-01-21 0.17 -

nProtect 20090122.01 2992233 2009-01-22 7.91 Trojan-Dropper/W32.Agent.49196

The Hacker 6.3.1.5 v00225 2009-01-21 1.06 Trojan/Dropper.VB.imc

VBA32 3.12.8.10 20090121.1558 2009-01-21 1.46 Trojan-Dropper.Win32.VB.imc

VirusBuster 4.5.11.10 10.100.34/762839 2009-01-22 0.99 -[/quote]
Si quieres prueba el ELIMD5 entrandole esta cadena



[b][i]3af4de5bd2adc0b11ee464478c269e57[/i][/b]

a ver si es el mismo



ELIMD5.EXE

http://www.zonavirus.com/descargas/elimd5.asp



saludos



ms, 22-1-2009

[pollastreraul]

Gracias por tu interés.

Creo que tardaré un poco en liarme con el tema: no escribo desde casa (porque no tengo conexión, o sea, que no tengo aquí el ordenador infectado) y ando corto de tiempo (por el trabajo), pero intentaré ponerme esta tarde o manhana por la tarde.

Un saludo.

[HellMonkey]

Las muestras que encontré por mi parte ya fueron mandadas. Gracias por indicarme este tema, saludos.

[msc hotline sat]

Las muestras recibidas corresponden al mismo MD5 indicado:



File Exxxplorer.exe received on 01.22.2009 15:30:48 (CET)

Current status: finished



Result: 18/39 (46.15%)



Additional information

MD5: 3af4de5bd2adc0b11ee464478c269e57

SHA1: 097c2df8c49a7f35d122ac1ed3b9522a8fd518e5



Se analizaran e implementaran en la proxima version de nuestras utilidades, de lo cual informaremos



saludos



ms, 22-1-2009

[msc hotline sat]

Varios ficheros analizados pasan a ser controlados con el ELISTARA 17.85 de hoy



El o2i1u3u1w6o7.exe se analizará mañana pues parece ser un IRCBOT que controlaremos con el ELITRÌIP, que hoy no hemos cambiado. Mientras cambia su extension añadiendole .VIR, para que no se cargue a partir del proximo reinicio



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus


[quote]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]

saludos



ms, 22-1-2009

[HellMonkey]

Hola. Analizé mi carpeta de muestras con Elistara y salió lo siguiente:



Thu Jan 22 12:39:25 2009

EliStartPage v17.85 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



Thu Jan 22 12:39:55 2009

EliStartPage v17.85 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "H:\"

H:\MUESTRAS\EXXXPLORER.EXE.VIR --> Eliminado, Dropper.VB.IMC

H:\MUESTRAS\EXPLOR.EXE --> Eliminado, P2P-Worm.Agent.OL

H:\MUESTRAS\EXREDR.EXE --> Eliminado, Dropper.VB.IMC

H:\MUESTRAS\EXXXPLORER.EXE --> Eliminado, Dropper.VB.IMC

H:\MUESTRAS\O3U1W6O7.EXE --> Eliminado, P2P-Worm.Agent.OL

H:\MUESTRAS\EXREDR.EXE.VIR --> Eliminado, Dropper.VB.IMC



Nº Total de Directorios: 299

Nº Total de Ficheros: 2248

Nº de Ficheros Analizados: 958

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 6





Al parecer ya los controla. En cuanto termine mis clases veré que pasa con la computadora de mi amigo.

Sin embargo, elistara dejó intacto el archivo "exploredr.exe". Virustotal me dice:



a-squared 4.0.0.73 2009.01.22 Trojan-Downloader.HTML.Agent!IK

AhnLab-V3 5.0.0.2 2009.01.22 -

AntiVir 7.9.0.60 2009.01.22 -

Authentium 5.1.0.4 2009.01.22 -

Avast 4.8.1281.0 2009.01.22 -

AVG 8.0.0.229 2009.01.22 -

BitDefender 7.2 2009.01.22 -

CAT-QuickHeal 10.00 2009.01.22 -

ClamAV 0.94.1 2009.01.22 -

Comodo 942 2009.01.22 -

DrWeb 4.44.0.09170 2009.01.22 -

eSafe 7.0.17.0 2009.01.22 -

eTrust-Vet 31.6.6321 2009.01.22 -

F-Prot 4.4.4.56 2009.01.21 -

F-Secure 8.0.14470.0 2009.01.22 -

Fortinet 3.117.0.0 2009.01.22 -

GData 19 2009.01.22 -

Ikarus T3.1.1.45.0 2009.01.22 Trojan-Downloader.HTML.Agent

K7AntiVirus 7.10.601 2009.01.22 -

Kaspersky 7.0.0.125 2009.01.22 Trojan-Downloader.HTML.Agent.nb

McAfee 5502 2009.01.21 -

McAfee+Artemis 5502 2009.01.21 -

Microsoft 1.4205 2009.01.22 -

NOD32 3790 2009.01.22 -

Norman 5.93.01 2009.01.22 -

nProtect 2009.1.8.0 2009.01.22 -

Panda 9.5.1.2 2009.01.22 -

PCTools 4.4.2.0 2009.01.22 -

Prevx1 V2 2009.01.22 Cloaked Malware

Rising 21.13.32.00 2009.01.22 -

SecureWeb-Gateway 6.7.6 2009.01.22 -

Sophos 4.37.0 2009.01.22 -

Sunbelt 3.2.1835.2 2009.01.16 -

Symantec 10 2009.01.22 -

TheHacker 6.3.1.5.225 2009.01.21 -

TrendMicro 8.700.0.1004 2009.01.22 -

VBA32 3.12.8.11 2009.01.22 -

ViRobot 2009.1.22.1574 2009.01.22 Spyware.Agent.Do.4981

VirusBuster 4.5.11.0 2009.01.22 -

Información adicional

Tamano archivo: 4981 bytes

MD5...: 39eddf68de5daadb9a5293478c1fe279

SHA1..: d8a944ea5fa7c3e315fd2942aa664768b3bafee6

SHA256: 855a51312ecc9c8f1334bdb4a6865b1ca4baa6c8a4967fa3b7bd6dda1ca7cb50

SHA512: d9b86f8c913465afa17d3b18f7137601f08141d09b627d4414bf1f791e8ad0d6

dcde82be87436c014f060b17a986614122a9535320d82cf178e45396f3e901a5

ssdeep: 96:nqT1Oyz2CNlzhQPQH1L3fX/sFNQDoEKMZHc3tc:wom2svQYHqgrKMWtc

PEiD..: -

TrID..: File type identification

HyperText Markup Language with DOCTYPE (80.6%)

HyperText Markup Language (19.3%)

PEInfo: -

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=39EDDF6875DE5DAA13DB009A529347008C1FE279



Y también dejó el o2i1u3u1w6o7.exe, como se esperaba.

[flacoroo]

reinicia en modo seguro tu compu( de esa manera no estara activo y no creara otro igual como respaldo)....y cambiales la extensiona .vir y reinicias tu compu

[color=#FF0000]exploredr.exe[/color] [color=#0000BF]exploredr.exe.vir[/color]

[color=#FF0000]o2i1u3u1w6o7.exe[/color] [color=#000080]o2i1u3u1w6o7.exe.vir[/color]



de esa manera no se cargara en el siguiente reinicio.....

[msc hotline sat]

Podría ser que no haya llegado en condiciones. Repite el envio solo de este fichero, empaquetado y con password virus.



O igual el que tienes ya está coruupto, aunque lo sigan detectando, pero sin poderse monitorizar. En cualquier caso saldremos de dudas con la nueva muestra



y ya está previsto dar entrada al otro en el ELITRIIP de mañana, y asi todo listo.



saludos



ms, 22-1-2009

[HellMonkey]

Enviada muestra.

[msc hotline sat]

Bien, pues hoy analizaremos este y el otro de IRCBOT, aunque iran en utilidades separadas, este ultimo en el ELITRIIP si es lo que pensamos.



Ya informaremos



saludos



ms, 23-1-2009

[pollastreraul]

Buenas!

Pasé el ELIMD5.EXE con el código que me dijiste 3af4de5bd2adc0b11ee464478c269e57 y me me dijo que salían los dos bichos, el exxxplorer.exe y el Exredr.exe

Lo siguiente que me dijo es que se han guardado unas muestras y un informe en C/:

A continuación te envío el informe.

¿Es necesario hacer algo más o ya está solucionado?

Muchísimas gracias por tu/vestra ayuda.

Agradecido,

Raúl.





Wed Oct 25 01:18:14 2006

EliMD5 v1.3 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Por favor, Envienos Muestra para Analizar.

C:\Muestras\EXREDR.EXE.(3AF4DE5BD2ADC0B11EE464478C269E57).vir

C:\WINDOWS\Fonts\EXREDR.EXE --> Eliminado. (Hash: 3AF4DE5BD2ADC0B11EE464478C269E57).

Por favor, Envienos Muestra para Analizar.

C:\Muestras\EXREDR.EXE.(3AF4DE5BD2ADC0B11EE464478C269E57).vir

C:\Documents and Settings\pollo-frito\EXREDR.EXE --> Eliminado. (Hash: 3AF4DE5BD2ADC0B11EE464478C269E57).

Por favor, Envienos Muestra para Analizar.

C:\Muestras\EXXXPLORER.EXE.(3AF4DE5BD2ADC0B11EE464478C269E57).vir

C:\Documents and Settings\pollo-frito\EXXXPLORER.EXE --> Eliminado. (Hash: 3AF4DE5BD2ADC0B11EE464478C269E57).

Por favor, Envienos Muestra para Analizar.

C:\Muestras\EXRXEDR.EXE.(3AF4DE5BD2ADC0B11EE464478C269E57).vir

C:\Documents and Settings\pollo-frito\EXRXEDR.EXE --> Eliminado. (Hash: 3AF4DE5BD2ADC0B11EE464478C269E57).

Por favor, Envienos Muestra para Analizar.

C:\Muestras\A0095963.EXE.(3AF4DE5BD2ADC0B11EE464478C269E57).vir

C:\System Volume Information\_restore{B9D551CB-7250-4838-9E74-F8BEC453534F}\RP315\A0095963.EXE --> Eliminado. (Hash: 3AF4DE5BD2ADC0B11EE464478C269E57).

Por favor, Envienos Muestra para Analizar.

C:\Muestras\A0095998.EXE.(3AF4DE5BD2ADC0B11EE464478C269E57).vir

C:\System Volume Information\_restore{B9D551CB-7250-4838-9E74-F8BEC453534F}\RP315\A0095998.EXE --> Eliminado. (Hash: 3AF4DE5BD2ADC0B11EE464478C269E57).

Por favor, Envienos Muestra para Analizar.

C:\Muestras\A0096012.EXE.(3AF4DE5BD2ADC0B11EE464478C269E57).vir

C:\System Volume Information\_restore{B9D551CB-7250-4838-9E74-F8BEC453534F}\RP315\A0096012.EXE --> Eliminado. (Hash: 3AF4DE5BD2ADC0B11EE464478C269E57).

Por favor, Envienos Muestra para Analizar.

C:\Muestras\A0096025.EXE.(3AF4DE5BD2ADC0B11EE464478C269E57).vir

C:\System Volume Information\_restore{B9D551CB-7250-4838-9E74-F8BEC453534F}\RP315\A0096025.EXE --> Eliminado. (Hash: 3AF4DE5BD2ADC0B11EE464478C269E57).

Por favor, Envienos Muestra para Analizar.

C:\Muestras\A0096063.EXE.(3AF4DE5BD2ADC0B11EE464478C269E57).vir

C:\System Volume Information\_restore{B9D551CB-7250-4838-9E74-F8BEC453534F}\RP317\A0096063.EXE --> Eliminado. (Hash: 3AF4DE5BD2ADC0B11EE464478C269E57).

Por favor, Envienos Muestra para Analizar.

C:\Muestras\A0096072.EXE.(3AF4DE5BD2ADC0B11EE464478C269E57).vir

C:\System Volume Information\_restore{B9D551CB-7250-4838-9E74-F8BEC453534F}\RP317\A0096072.EXE --> Eliminado. (Hash: 3AF4DE5BD2ADC0B11EE464478C269E57).

Por favor, Envienos Muestra para Analizar.

C:\Muestras\A0096090.EXE.(3AF4DE5BD2ADC0B11EE464478C269E57).vir

C:\System Volume Information\_restore{B9D551CB-7250-4838-9E74-F8BEC453534F}\RP318\A0096090.EXE --> Eliminado. (Hash: 3AF4DE5BD2ADC0B11EE464478C269E57).

Por favor, Envienos Muestra para Analizar.

C:\Muestras\A0096108.EXE.(3AF4DE5BD2ADC0B11EE464478C269E57).vir

C:\System Volume Information\_restore{B9D551CB-7250-4838-9E74-F8BEC453534F}\RP318\A0096108.EXE --> Eliminado. (Hash: 3AF4DE5BD2ADC0B11EE464478C269E57).

Por favor, Envienos Muestra para Analizar.

C:\Muestras\A0096137.EXE.(3AF4DE5BD2ADC0B11EE464478C269E57).vir

C:\System Volume Information\_restore{B9D551CB-7250-4838-9E74-F8BEC453534F}\RP318\A0096137.EXE --> Eliminado. (Hash: 3AF4DE5BD2ADC0B11EE464478C269E57).

Por favor, Envienos Muestra para Analizar.

C:\Muestras\A0096138.EXE.(3AF4DE5BD2ADC0B11EE464478C269E57).vir

C:\System Volume Information\_restore{B9D551CB-7250-4838-9E74-F8BEC453534F}\RP318\A0096138.EXE --> Eliminado. (Hash: 3AF4DE5BD2ADC0B11EE464478C269E57).



Nº Total de Directorios: 5071

Nº Total de Ficheros: 58881

Nº de Ficheros Analizados: 9965

Nº de Ficheros Detectados: 14

Nº de Ficheros Eliminados: 14

[msc hotline sat]

Los del System Volume Information eran del RESTORE, bien va que se hayan sacado de alli, y ya puedes eliminarlos, pero estos otros, que despues del ELISTARA aun quedaban, envianoslos para analizar:



Por favor, Envienos Muestra para Analizar.

C:\Muestras\EXREDR.EXE.(3AF4DE5BD2ADC0B11EE464478C269E57).vir



Por favor, Envienos Muestra para Analizar.

C:\Muestras\EXREDR.EXE.(3AF4DE5BD2ADC0B11EE464478C269E57).vir



Por favor, Envienos Muestra para Analizar.

C:\Muestras\EXXXPLORER.EXE.(3AF4DE5BD2ADC0B11EE464478C269E57).vir



Por favor, Envienos Muestra para Analizar.

C:\Muestras\EXRXEDR.EXE.(3AF4DE5BD2ADC0B11EE464478C269E57).vir



Por favor, Envienos Muestra para Analizar.

C:\Muestras\A0095963.EXE.(3AF4DE5BD2ADC0B11EE464478C269E57).vir



saludos



ms, 23-1-2009

[pollastreraul]

Hola,

Ya te envié las muestras. Por favor, comunícame si hace falta hacer algo más.

Muchas gracias.

Lo olvidaba, desde hace una media hora me aparece una ventana con el mensaje "SM56Helper Error No se detecta ninguna señal telefónica; compruebe la conexión" ¿Es posible que tenga algo que ver con el tema?

Un saludo.

[pollastreraul]

Hola,

Ya te envié las muestras. Por favor, comunícame si hace falta hacer algo más.

Muchas gracias.

Lo olvidaba, desde hace una media hora me aparece una ventana con el mensaje "SM56Helper Error No se detecta ninguna señal telefónica; compruebe la conexión" ¿Es posible que tenga algo que ver con el tema?

Un saludo.

[msc hotline sat]

Recibidas muestras, son variantes de ONLINE GAMES que implementamos en el ELISTARA 17.86 DE HOY



Tras descargarlo esta tarde y probarlo, comentanos el resultado:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 23-1-2009

[pollastreraul]

Buenas,

Bajé el Elistara y lo pasé. Reinicié y lo volví a pasar.

El resultado es el siguiente informe adjunto.

Me sigue apareciendo el maldito Exrxedr.exe :evil:

Por otra parte he actualizado el Avast y me han saltado varios troyanos y sospecho que uno de ellos está en mi lápiz de memoria: ¿debería tirarlo a la basura o podría tener solución?

Saludos y gracias.

[msc hotline sat]

Sobre el fichero EXPLOREDR.EXE, si que lo detectamos:


[quote] Fri Jan 23 13:45:48 2009

EliStartPage v17.85 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "A:\"

A:\EXPLOREDR.EXE.VIR --> Eliminado, DownLoader.Agent.NB(hmtl)
[/quote]

por lo que hemos visto que había un bug en el nombre del troyano, y pasamos a cambiar el de hmtl por html, ya que le llamamaos asi porque realmente no es un EXE sino un HTML



Y sobre la muestra que quedó pendiente ayer, la hemos implementado en el ELITRIIP de hoy 5.48 , tras descargarlo esta tarde y probarlo, comentanos el resultado, gracias



saludos



ms, 23-1-2009

[pollastreraul]

Buenas,

No encuentro el Eliitrip 5.48

¿Lo teneis colgado en la web? ¿Podrías indicarme donde?

En cuanto a lo del troyano, ¿tengo que hacer algo más?

Muchas gracias.

Un saludo cordial.

[msc hotline sat]

El ELITRIIP 5.48 es el que estamos haciendo hoy. Por esto te deciamos que lo descargaras esta tarde... y eso será despues de comer, claro ! :wink:



Siempre informamos de las nuevas versiones en el apartado de "ALERTAS VIRICAS y utilidades de eliminacion" cuando las publicamos



saludos



ms, 23-1-2009

[msc hotline sat]

Venga, lo hemos subido antes de ir a comer y todo !!! :



https://foros.zonavirus.com/viewtopic.php?f=11&t=27561&p=152370#p152370



ya puedes descargarlo y probarlo:



https://foros.zonavirus.com/viewtopic.php?f=11&t=27561&p=152370#p152370



saludos



ms, 23-12-2009

[HellMonkey]

Está raro...Bajé Elistara y Elitriip, pero me bajó dos Elitriip :? Al parecer el botón de descarga del Elistara en realidad baja el Elitriip. Por lo pronto:



Fri Jan 23 08:28:47 2009

EliTriIP v5.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Fri Jan 23 08:28:56 2009

EliTriIP v5.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "H:\"

H:\MUESTRAS\o2i1u3u1w6o7.exe.vir --> Eliminado, SdBot.JTM



Nº Total de Directorios: 299

Nº Total de Ficheros: 2239

Nº de Ficheros Analizados: 840

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Espero noticias del Elistara.

[msc hotline sat]

Al menos veo que el ELITRIIP ha hecho su faena... :wink:



Y el ELISTARA baja bien de su enlace..., lo he comprobado bajando estas dos utilidades y comprobado:





23/01/2009 16:06 436.747 ELISTARA.%D8C%D8BB%D8%D8I.EXE

23/01/2009 16:08 96.267 ELITRIIP.%D8C%D8BB%D8%D8I.EXE



Fijate que los tamaños son muy diferentes, vuelvelo a probar...



saludos



ms, 23-1-2009









NOTA: Te recuerdo los links de descarga:


[quote="msc"]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado de los procesos


[/quote] ms.

[HellMonkey]

Ya descargado Elistara. Pero al parecer aquí mi amigo se desesperó y me eliminó las muestras víricas que le dije que dejara intactas hasta que regresara...me dice que fue solo de enviarlas a papelera y luego vaciarla. Pues que se le va a hacer...ya no hay nada en las carpetas done estaba exxxplorer.exe y compañía. Aquí está todo el InfoSat.txt de esta máquina:





Tue Jan 20 18:19:04 2009

EliStartPage v17.83 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3CJPEG.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3HTMLMU.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3POPSWT.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3PSSAVR.SCR --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3REPROX.DLL --> MyWebSearch Renombrado a .VIR

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3RESTUB.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3SCRCTR.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3WPHOOK.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\M3HTML.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\M3OUTLCN.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\M3SKIN.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\M3SRCHMN.EXE --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\MWSOEMON.EXE --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\MWSOEPLG.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\MWSOESTB.DLL --> Eliminado MyWebSearch

C:\WINDOWS\JEJEKAT.TXT --> Eliminado (Fichero Complementario).

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Eliminada Class, "{00A6FAF6-072E-44CF-8957-5838F569A31D}" -> C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

Eliminada Class, "{07B18EA9-A523-4961-B6BB-170DE4475CCA}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSBAR.DLL

Eliminada Class, "{07B18EAB-A523-4961-B6BB-170DE4475CCA}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSBAR.DLL

Eliminada Class, "{147A976F-EEE1-4377-8EA7-4716E4CDD239}" -> NULL1

Eliminada Class, "{3DC201FB-E9C9-499C-A11F-23C360D7C3F8}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\F3HTMLMU.DLL

Eliminada Class, "{3E720452-B472-4954-B7AA-33069EB53906}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\M3HTML.DLL

Eliminada Class, "{53CED2D0-5E9A-4761-9005-648404E6F7E5}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSBAR.DLL

Eliminada Class, "{63D0ED2C-B45B-4458-8B3B-60C69BBBD83C}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\F3POPSWT.DLL

Eliminada Class, "{7473D292-B7BB-4F24-AE82-7E2CE94BB6A9}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\M3SKIN.DLL

Eliminada Class, "{7473D294-B7BB-4F24-AE82-7E2CE94BB6A9}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\M3SKIN.DLL

Eliminada Class, "{7473D296-B7BB-4F24-AE82-7E2CE94BB6A9}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\M3SKIN.DLL

Eliminada Class, "{8E6F1832-9607-4440-8530-13BE7C4B1D14}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\F3POPSWT.DLL

Eliminada Class, "{938AA51A-996C-4884-98CE-80DD16A5C9DA}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\F3SCRCTR.DLL

Eliminada Class, "{98D9753D-D73B-42D5-8C85-4469CDA897AB}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\F3HTMLMU.DLL

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminada Class, "{9FF05104-B030-46FC-94B8-81276E4E27DF}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\F3SCRCTR.DLL

Eliminada Class, "{A9571378-68A1-443D-B082-284F960C6D17}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\F3POPSWT.DLL

Eliminada Class, "{ADB01E81-3C79-4272-A0F1-7B2BE7A782DC}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\M3OUTLCN.DLL

Eliminada Class, "{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}" -> NULL2

Eliminada Carpeta "%Archivos de Programa%\FunWebProducts"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

SHELLEXECUTE=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Reinicie para Completar la Limpieza.



Tue Jan 20 18:23:43 2009

EliStartPage v17.83 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Microsoft Works\WKDBOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\Archivos de programa\Microsoft Works\WKSSOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\Archivos de programa\MSN Messenger\RICHED20.DLL --> Eliminado, MyWebSearch

C:\Archivos de programa\myBabylon_English\TBMYBA.DLL --> Eliminado, TBConduit(tb)

C:\Archivos de programa\MyWebSearch\bar\1.bin\F3REPROX.DLL.VIR --> Acceso Denegado, MyWebSearch (Reiniciar para Completar la Limpieza)

C:\WINDOWS\Downloaded Program Files\F3INITIALSETUP1.0.1.0.INF --> Eliminado, MyWebSearch(inf)

C:\WINDOWS\system32\DPGCALL.DLL --> Eliminado, PWS-WoW.YU

C:\WINDOWS\system32\F3PSSAVR.SCR --> Eliminado, MyWebSearch



Nº Total de Directorios: 6805

Nº Total de Ficheros: 73268

Nº de Ficheros Analizados: 20425

Nº de Ficheros Infectados: 8

Nº de Ficheros Limpiados: 7



Tue Jan 20 18:31:49 2009

EliStartPage v17.83 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"

D:\i386\Apps\App03485\pfiles\msworks\WKDBOLE.DLL --> Eliminado, ZangoSA (BHO)

D:\i386\Apps\App03485\pfiles\msworks\WKSSOLE.DLL --> Eliminado, ZangoSA (BHO)

D:\System Volume Information\_restore{07694C2D-D2EA-424A-9773-80F2CB3556C3}\RP677\A0206708.DLL --> Eliminado, ZangoSA (BHO)

D:\System Volume Information\_restore{07694C2D-D2EA-424A-9773-80F2CB3556C3}\RP677\A0206709.DLL --> Eliminado, ZangoSA (BHO)



Nº Total de Directorios: 276

Nº Total de Ficheros: 3731

Nº de Ficheros Analizados: 1731

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4



Tue Jan 20 18:32:11 2009

EliStartPage v17.83 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

G:\ABK.BAT --> Eliminado, PWS-OnLineGames.Kamsoft

G:\NQ0CQ.CMD --> Eliminado, PWS-OnLineGames.CKVO

G:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\SERVICE.EXE --> Eliminado, AutoRun(Recycle)

G:\Apps\hjt\backups\BACKUP-20090120-181538-677.DLL --> Eliminado, MyWebSearch

G:\Apps\hjt\backups\BACKUP-20090120-181539-550.DLL --> Eliminado, MyWebSearch



Nº Total de Directorios: 299

Nº Total de Ficheros: 2249

Nº de Ficheros Analizados: 961

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 5



Tue Jan 20 18:34:20 2009

EliTriIP v5.46 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "MsConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Entrada Eliminada [HKCU\...\Run] "Windows Video Drivers"="C:\RECYCLER\S-1-5-21-4249461065-8682297463-186385045-0558\winlogon.exe"



Tue Jan 20 18:34:23 2009

EliTriIP v5.46 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6804

Nº Total de Ficheros: 73265

Nº de Ficheros Analizados: 18734

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Jan 20 18:40:08 2009

EliTriIP v5.46 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 276

Nº Total de Ficheros: 3727

Nº de Ficheros Analizados: 1110

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Jan 20 18:41:12 2009

EliTriIP v5.46 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"



Nº Total de Directorios: 299

Nº Total de Ficheros: 2244

Nº de Ficheros Analizados: 841

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Jan 20 18:44:52 2009

EliStartPage v17.83 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%Archivos de Programa%\MyWebSearch"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

SHELLEXECUTE=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Tue Jan 20 18:44:58 2009

EliStartPage v17.83 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6800

Nº Total de Ficheros: 73258

Nº de Ficheros Analizados: 20412

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Jan 20 19:18:06 2009

EliStartPage v17.83 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Detectado AUTORUN.INF en la Unidad (D)

SHELLEXECUTE=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Tue Jan 20 19:18:12 2009

EliStartPage v17.83 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"



Nº Total de Directorios: 299

Nº Total de Ficheros: 2244

Nº de Ficheros Analizados: 956

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Jan 21 19:07:39 2009

EliStartPage v17.83 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

SHELLEXECUTE=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Wed Jan 21 19:09:52 2009

EliStartPage v17.83 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 116

Nº Total de Ficheros: 1768

Nº de Ficheros Analizados: 882

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Wed Jan 21 19:10:15 2009

EliStartPage v17.83 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\Documents and Settings\oscar"



Nº Total de Directorios: 984

Nº Total de Ficheros: 6996

Nº de Ficheros Analizados: 349

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Jan 21 20:47:22 2009

EliStartPage v17.83 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Detectado AUTORUN.INF en la Unidad (D)

SHELLEXECUTE=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Wed Jan 21 20:47:31 2009

EliStartPage v17.83 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"



Nº Total de Directorios: 299

Nº Total de Ficheros: 2237

Nº de Ficheros Analizados: 953

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Jan 23 16:35:05 2009

EliTriIP v5.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SBCTRI.EXE --> Eliminado SdBot.JTM



Fri Jan 23 16:35:12 2009

EliTriIP v5.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Fri Jan 23 16:38:43 2009

EliStartPage v17.86 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

SHELLEXECUTE=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Fri Jan 23 16:39:04 2009

EliStartPage v17.86 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\RECYCLER\S-1-5-21-4249461065-8682297463-186385045-0558\WINLOGON.EXE --> Eliminado, AutoRun(Recycle)



Nº Total de Directorios: 5726

Nº Total de Ficheros: 60227

Nº de Ficheros Analizados: 19528

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Fri Jan 23 16:50:07 2009

EliStartPage v17.86 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

G:\MUESTRAS\EXPLOREDR.EXE.VIR --> Eliminado, DownLoader.Agent.NB(html)



Nº Total de Directorios: 299

Nº Total de Ficheros: 2238

Nº de Ficheros Analizados: 952

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



El autorun que dice del disco D: es un software de restauración de sistema a imagen de fábrica. G: es mi memoria USB.



Al parecer encontró dos cosas que antes no había visto, pero como les digo, me eliminaron lo que había encontrado antes... :?

[julibaga]

Ahhh, no!!! Pues vuelve a infectarte para enviarlas.... :lol:

Lástima, qué se le va a hacer!

Comenta si sigues con el problema.

[msc hotline sat]

Pues es una pena, porque sin las muestras no podemos analizarlas ni monitorizar su comportamiento y asi ayudaros a vosotrosi y a los demas. Que os sirva de experiencia.



Si recuperas las muestras, nos las envias y procederemos, sino daremos el Tema por terminado y procederemos a cerrarlo.



saludos



ms, 24-1-2009

[HellMonkey]

Pues las muestras en la computadora de mi amigo las copié a mi memoria USB y fueron las que les envié; las originales en su máquina las eliminó manualmente, mientras que las copias en mi USB fueron controladas por Elistara. Él ya no ha tenido problemas hasta ahora, pero no sé si el autor original de este tema todavía siga con el virus.

[lucl]

Pues entonces ya damos el tema por terminado, si los consigues de nuevo nos los envias para que los "matemos" saludos