win32.joleee.k y securitycenter_disabled

[erinia]

Hola a todos, siempre vuelvo :(



Paso a contar:

Anoche entré a una página "seria" de la Academia de Inglés Eton y de golpe comenzaron a salir carteles del nod32 con amenazas y del SpybotSD con un cartel que me preguntaba si deseaba permitir el cambio en el registro.

Lamentablmente no me acuerdo bien lo que decía, pero era algo de Global...

Pasé el Spybot y me detectó algunos problemas que luego me reparó, pero cuando lo vuelvo a lanzar, aparecen los dos temas del asunto. Esta tarde, se sumó otro, el windows security center.Firewall0verride.

Además, me aparece un archivo en C:windows/services.exe que ya mismo estaré enviando como muestra para analizar.

Alguna ayuda para brindarme?



Pasé Elistara y me lanzó estos resultados:



Sun Jan 25 14:50:37 2009

EliStartPage v17.86 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SERVICES.EXE.Muestra EliStartPage v17.86

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SERVICES.EXE --> Eliminado

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Jan 25 14:51:51 2009

EliStartPage v17.86 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Documents and Settings\Administrador\7zS4E8.tmp\WINUEFILES.EXE --> Eliminado, Tool-HideWindow(dropper)

C:\Documents and Settings\Administrador\Escritorio\Ahora\Juegos (sin backup)\LBA2.EXE --> Eliminado, Dropper(ConHook)

C:\Documents and Settings\Default User\7zS4E8.tmp\WINUEFILES.EXE --> Eliminado, Tool-HideWindow(dropper)

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow

C:\WINDOWS\system32\config\systemprofile\7zS4E8.tmp\WINUEFILES.EXE --> Eliminado, Tool-HideWindow(dropper)



Nº Total de Directorios: 7254

Nº Total de Ficheros: 103363

Nº de Ficheros Analizados: 24211

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 6



Gracias.

Erinia.

[erinia]

Pues no sé qué ha pasado, tal vez Elistara eliminó el archivo services.exe, porque en su lugar no lo encuentro ya...

Veremos si aparece, se los mando.

[msc hotline sat]

Sí, se ha movido a C:\muestras para que tras reiniciar mp se cargue, y asi quede aparcado el problema.



Ahora envienos el fichero en cuestion:


[quote]Por favor, envienos una muestra del fichero

C:\Muestras\SERVICES.EXE.Muestra EliStartPage v17.86[/quote]



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 25-1-2009

[erinia]

Muchas gracias por la rápida respuesta.

Ya he enviado el archivo sospechoso desde la carpeta muestras, comprimido y con contraseña Virus.



Al parecer, ya está todo acomodado. Al menos he corrido en modo seguro el antivirus y el Eli, así como también el Spybot SD y ya no me aparecen las entradas sospechosas.



He desinstalado el mirc ya que me lo detectaba como sospechoso, y se ha terminado (al menos por ahora) este problema.



Muchas gracias y espero info sobre lo enviado.



Erinia

[lucl]

El mirc te saltara siempre porque es un programa de chat y tiene algun componente que hace que salte el antivirus. Algunos scripts ya lo avisan de que eso puede pasar. En cuanto a la muestra mañana te la analizaran y te daran la version actualizada del elistara. Por la tarde suele avisar Msc de que ya se puede descargar, estate atenta al post saludos

[msc hotline sat]

Recibida la muestra enviada, hemos visto rutinas sospechosas y la creacion de claves de registro, desactiva cortafuegos, y su autocopìa en la carpeta de sistema, por lo que pasamos a controlarlo en la nueva version de hoy ELISTARA 17.87



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 26-1-2009

[erinia]

A las buenas buenas.

Aquí he vuelto. He pasado el EliStartPage 17.87, como me habías indicado. Veré cómo hago para hacerme del servicepack 3 y el otro parche, puesto que mi SO no es comprado :$ (vino así con la pc que compré).

Creo que todo va bien porque sólo me ha detectado la muestra del services.exe que les había enviado. Luego pego el log.

Pregunta ¿Elimino esa carpeta de muestras ya?

Gracias por la ayuda :)

Erinia

Aquí va el log:

Mon Jan 26 21:48:02 2009

EliStartPage v17.87 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jan 26 21:48:38 2009

EliStartPage v17.87 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\SERVICES.EXE.MUESTRA ELISTARTPAGE V17.86 --> Eliminado, Malware.Services



Nº Total de Directorios: 7256

Nº Total de Ficheros: 103299

Nº de Ficheros Analizados: 24220

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[msc hotline sat]

Vea que en la carpeta C:\muestras ya no tenga nada, y si es asi, si quiere eliminarla, hagalo, aunque no molesta...



Y sobre lo que dice que [b][i]"puesto que mi SO no es comprado "[/i][/b], recuerde que en este foro no se da soporte a sistemas no legales, asi que adquiera la licencia de uso e instale los parches que le faltan



Y dando por solucionado el Tema, procedemos a cerrarlo



saludos



ms, 27-1-2009