Virus nuevo

[alejandrovazuezmx]

envio muestras de virus detectado con elistara 17.96

gracias



anexo infosat.txt



Mon Feb 09 09:00:04 2009

EliStartPage v17.96 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 6 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\KAMSOFT.EXE --> Eliminado PWS-OnLineGames.Kamsoft

C:\WINDOWS\SYSTEM32\GASRETYW0.DLL --> PWS-OnLineGames.Kamsoft Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\OLHRWEF.EXE.Muestra EliStartPage v17.96

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\OLHRWEF.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NMDFGDS0.DLL.Muestra EliStartPage v17.96

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NMDFGDS0.DLL --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\VAMSOFT.EXE --> Eliminado PWS-OnLineGames.Vamsoft

C:\WINDOWS\SYSTEM32\VBSDFE0.DLL --> Eliminado PWS-OnLineGames.Vamsoft

Entrada Eliminada [HKCU\...\Run] "cdoosoft"="C:\WINDOWS\system32\olhrwef.exe"

Entrada Eliminada [HKCU\...\Run] "kamsoft"="C:\WINDOWS\system32\kamsoft.exe"

Entrada Eliminada [HKCU\...\Run] "vamsoft"="C:\WINDOWS\system32\vamsoft.exe"

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Mon Feb 09 09:04:06 2009

EliStartPage v17.96 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 6 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\1GK8HA.BAT --> Eliminado, PWS-OnLineGames.Kamsoft

C:\8.BAT --> Eliminado, PWS-OnLineGames.Olhrwef

C:\GY.EXE --> Eliminado, PWS-OnLineGames.Olhrwef

C:\HL80C6B1.COM --> Eliminado, PWS-OnLineGames.Olhrwef

C:\IKY.BAT --> Eliminado, PWS-OnLineGames.Kamsoft

C:\IQE68O.BAT --> Eliminado, PWS-OnLineGames.Kamsoft

C:\M9MA.EXE --> Eliminado, PWS-OnLineGames.Kamsoft

C:\POOK.COM --> Eliminado, PWS-OnLineGames.Olhrwef

C:\UVSQFGWD.CMD --> Eliminado, PWS-OnLineGames.Olhrwef

C:\W98.COM --> Eliminado, PWS-OnLineGames.Olhrwef

C:\WINDOWS\system32\GASRETYW0.DLL.VIR --> Acceso Denegado, PWS-OnLineGames.Kamsoft (Reiniciar para Completar la Limpieza)

C:\WINDOWS\system32\VBSDFE1.DLL --> Eliminado, PWS-OnLineGames.Vamsoft



Nº Total de Directorios: 2418

Nº Total de Ficheros: 29047

Nº de Ficheros Analizados: 13093

Nº de Ficheros Infectados: 12

Nº de Ficheros Limpiados: 11

[msc hotline sat]

Visto que se mueve en un entorno de ONLINE GAMES, seran mas variantes del mismo, que pasaremos a controlar en cuanto recibamos las muestras que indicamos:



Por favor, envienos una muestra del fichero

C:\Muestras\OLHRWEF.EXE.Muestra EliStartPage v17.96



Por favor, envienos una muestra del fichero

C:\Muestras\NMDFGDS0.DLL.Muestra EliStartPage v17.96





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 9-2-2009

[alejandrovazuezmx]

hola gracias

ya he enviado las muestras



saludos

[lucl]

Pues mañana te diran algo al respecto, estate atento al foro saludos

[msc hotline sat]

De todas formas, pruebe el ELISTARA 17.97 actual, que ayer implementamos control de varias nuevas muestras de ONLINE GAME (algunas reportadas por julibaga), y podría ser que ya lo controlaramos.



Tras descargar y probar dicha nueva version, posteenos de nuevo el infosat.txt, gracias



Y sino, hoy analizaremos las que recibamos e implementaremos su control y eliminacion en el ELISTARA 17.98 de hoy, que subiremos a esta web, para pruebas de evaluaicon, sobre las 19 h GMY.



saludos



ms, 10-2-2009

[msc hotline sat]

Recibidas las muestras, resultan ser nuevas variantes de ONLINE GAMES , que pasamos a implementar en el ELISTARA de hoy 17.98



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 10-2-2009

[alejandrovazuezmx]

gracias

[msc hotline sat]

Ya hemos subido la nueva version



Pruebala y nos posteas el infosat.txt:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

aludos



ms, 10-2-2009

[alejandrovazuezmx]

HOla ya he probado el Elistara 17.98 pero ya no detecto nada, ni elimino las muestras de la carpeta muestras.



posteo el infosat



Tue Feb 10 09:53:10 2009

EliStartPage v17.97 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\OLHRWEF.EXE.Muestra EliStartPage v17.97

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\OLHRWEF.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NMDFGDS0.DLL.Muestra EliStartPage v17.97

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NMDFGDS0.DLL --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\VAMSOFT.EXE --> Eliminado PWS-OnLineGames.Vamsoft

C:\WINDOWS\SYSTEM32\VBSDFE0.DLL --> Eliminado PWS-OnLineGames.Vamsoft

Entrada Eliminada [HKCU\...\Run] "cdoosoft"="C:\WINDOWS\system32\olhrwef.exe"

Entrada Eliminada [HKCU\...\Run] "vamsoft"="C:\WINDOWS\system32\vamsoft.exe"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Tue Feb 10 09:55:37 2009

EliStartPage v17.97 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\8.BAT --> Eliminado, PWS-OnLineGames.Olhrwef

C:\GY.EXE --> Eliminado, PWS-OnLineGames.Olhrwef

C:\HL80C6B1.COM --> Eliminado, PWS-OnLineGames.Olhrwef

C:\POOK.COM --> Eliminado, PWS-OnLineGames.Olhrwef

C:\X2CSVG.EXE --> Eliminado, PWS-OnLineGames.Olhrwef



Nº Total de Directorios: 3870

Nº Total de Ficheros: 54675

Nº de Ficheros Analizados: 23903

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 5



Tue Feb 10 10:13:25 2009

EliStartPage v17.97 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\OLHRWEF.EXE.Muestra EliStartPage v17.97

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\OLHRWEF.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\NMDFGDS0.DLL.VIR --> Eliminado.

Entrada Eliminada [HKCU\...\Run] "cdoosoft"="C:\WINDOWS\system32\olhrwef.exe"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Feb 10 10:13:35 2009

EliStartPage v17.97 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 1738

Nº Total de Ficheros: 15635

Nº de Ficheros Analizados: 3174

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Tue Feb 10 10:28:12 2009

EliTriIP v5.56 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 6 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Tue Feb 10 10:28:14 2009

EliTriIP v5.56 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 6 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 3818

Nº Total de Ficheros: 52669

Nº de Ficheros Analizados: 22855

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Feb 10 12:32:20 2009

EliStartPage v17.98 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Feb 10 12:32:28 2009

EliStartPage v17.98 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 3838

Nº Total de Ficheros: 53832

Nº de Ficheros Analizados: 23885

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Es que has borrado los ficheros de C:\muestras ???



Si es asi, dinoslo, pero no debias haberlo hecho, ya que no podemos comprobar que los eliminara la nueva version ...



En cualquier caso, informanos al respecto



saludos



ms, 10-2-2009

[alejandrovazuezmx]

vuelvo a enviar las muestras generadas por el elistara 17.97



no las he borrado, las muestras siguen en la carpeta de muetras.



pero elistara 17.98 no las detecto, por eso vuelvo a enviar muestras



gracias

[lucl]

Pues es raro que no las detecte si , y te falta el sp3 actualiza el pc!!! saludos

[msc hotline sat]

Sí, en la version 17.98 se implement´p el control de 13 nuevas variantes de ONLINE GAMES:



ELISTARA



---v17.98-(10 de Febrero del 2009) (Muestras de (5)PWS-OnLineGames.KAVO, [b][i](5)PWS-OnLineGames.Olhrwef[/i][/b], (3)PWS-OnLineGames.Rttrwq, Dropper(NaviPromo) "LIVE_PLAYER_SETUP.EXE", (5)NaviPromo, Malware.SearchSet "SEARCHSETTINGS.DLL", SpyRealtek "ALCMTR.EXE", (2)MyWebSearch "F3HTMLMU y M3OUTLCN.DLL", NewDotNet "NDNUNINSTALL7_22.EXE", (2)AutoRun.CRSSCR, Fakealert "WINCONFIG.DLL", XPPolice(antispy) "XPPOLICE.EXE", AntiVirus360 "AV360.EXE" y Motor.OSSMTP(smtp) "OSSMTP.DLL")



incluyendo la del Olhrwef de las muestras enviadas ... ???



Con las que nos envia hoy de nuevo, trataremos de entender el motivo del porqué no detecta las que tiene en la carpeta C:\muestras, no las borre de ahí, lo ha de hacer el ELISTARA que haremos con las cadenas de las nuevas muestras que recibamos, igual cambiaron en el envio, muy raro porque ademas ahora ratificamos la deteccion a traves de MD5 ... :?: en cuanto llegue a SATINFO veré las muestras de ayer y comprobaré su control con dicha version, y si es positiva, solo cabe pensar que no llegaron integras, y tras analizarlas que nos envia hoy, pasaremos a controlarlas.



Seguiremos informando



saludos



ms, 11-2-2009











NOTA: y mientras, como bien indica lucl, lanza un windowsupdate e instala los parches pendientes !!!


[quote]No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)[/quote]
ms.

[msc hotline sat]

Son distintos ficheros los que recibimos hoy que los que anteriores, aunque tengan el mismo nombre inicial, pero unoi indican ser muestras pedidas por el ELISTARA 17.96 y los nuevos fueron pedidos por el ELISTARA 17.97 :





OLHRWEF.EXE.Muestra EliStartPage v17.96 105 KB (107.874 bytes)



NMDFGDS0.DLL.Muestra EliStartPage v17.96 93,5 KB (95.744 bytes)









OLHRWEF.EXE.Muestra EliStartPage v17.97 107 KB (109.724 bytes)



NMDFGDS0.DLL.Muestra EliStartPage v17.97 93,5 KB (95.744 bytes)





Por lo que posiblemente no posteó el INFOSAT.TXT completo, ya que sino hubieramos visto que se eliminaban las muestras de la 17.96 y luego se detectaron nuevas variantes, que se volvieron a pedir.





Hoy se implementará el control de estas nuevas muestras en la version 17.99, y por favor, tras probarla, postee el INFOSAT.TXT COMPLETO !!!





saludos



ms, 11-2-2009







NOTA: y aparte, ya se ve que el EXE es de diferente tamaño ! ms.

[alejandrovazuezmx]

Gracias



Enviare el infosat pero antes voy a actualizar

[msc hotline sat]

Ya hemos subido el ELISTARA 18.00, pruebalo y nos posteas el infosat una vez lo hayas probado, gracias



saludos



ms, 12-2-2009

[alejandrovazuezmx]

listo publico infosar.txt



Tue Feb 10 12:32:20 2009

EliStartPage v17.98 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Feb 10 12:32:28 2009

EliStartPage v17.98 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 3838

Nº Total de Ficheros: 53832

Nº de Ficheros Analizados: 23885

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Feb 16 16:36:20 2009

EliStartPage v18.02 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Feb 16 16:36:56 2009

EliStartPage v18.02 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\M0VNONH.BAT --> Eliminado, PWS-OnLineGames.Olhrwef

C:\Muestras\NMDFGDS0.DLL.MUESTRA ELISTARTPAGE V17.97 --> Eliminado, PWS-OnLineGames.Olhrwef

C:\Muestras\OLHRWEF.EXE.MUESTRA ELISTARTPAGE V17.97 --> Eliminado, PWS-OnLineGames.Olhrwef



Nº Total de Directorios: 3895

Nº Total de Ficheros: 56298

Nº de Ficheros Analizados: 23925

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

[msc hotline sat]

Bien, pues ya hemos detectado y eliminado esta nueva variante de ONLINE GAMES:



Mon Feb 16 16:36:56 2009

EliStartPage v18.02 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\M0VNONH.BAT --> Eliminado, PWS-OnLineGames.Olhrwef

C:\Muestras\NMDFGDS0.DLL.MUESTRA ELISTARTPAGE V17.97 --> Eliminado, PWS-OnLineGames.Olhrwef

C:\Muestras\OLHRWEF.EXE.MUESTRA ELISTARTPAGE V17.97 --> Eliminado, PWS-OnLineGames.Olhrwef



Diganos si tras ello persiste alguna anomalia o podemos dar por solucionado el Tema, gracias



ms, 17-2-2009