troyano 2.exe (TERMINADO)

[breadbeat]

vamos a ver creia que lo habia eliminado, cuando aller volvia verlo y ahora en la otra mitad de la oficina,pero esta vez no puedo de ninguna forma eliminarlo,

antes eliminaba el archivo en c:\windows\psexesvc.exe, lo quitaba del registro, pasaba el ccleaner, quitaba el restaurar sistema, eliminaba el antivirus y listo es mas la mitad que hice esto no ha vuelto a aparecer el dichoso 2.exe y el avg me decia que venia producido por el archivo este que elimino el psexesvc.exe, pero ahora hago eso y tambien lo borro del directorio c:\windows\prefetch, pero incluso de hay no se elimina es mas vuelve a aparecer el dichoso archivo psexesvc.exe y vuelve a crear el otro que es el que salta como troyano 2.exe, pone que es el avast trojan gen (other) y el avg pone que se llama :?: ahora mismo no me acuerdo, mañana cuando este en el curro lo pongo, me tiene el sueño trastornado y no puedo dejar de pensar en el dichoso virus y de como me tiene la oficina,haaaaannnnnnn una cosa que me he dado cuenta es que cuando salta el troyano 2.exe me crea perfiles de usuarios en el document and setting, del controlador de dominios, y cuando salta lo hacen todos los ordenadores a la vez o casi a la vez, de ante mano mil gracias.

[julibaga]

Si te deja renombrarlo, añádele la extensión .VIR para aparcarlo y enviarlo para analizar.

Para ello recuerda:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

[breadbeat]

Ya se el nombre que me pone el avg, pone trojan horse sheur2.sob pero tambien esta con la estension sxz y tambien lo he visto con la extension sys, y el panda antivirus dice que se llama trj/ilomo.a asi que no se cual sera el nombre actual, me estoy volviendo loco, ajajajajajaja, pero todos coinciden con el 2.exe ese dichoso, gracias.

[msc hotline sat]

Cada antivirus bautiza con diferentes nombre los virus... Envianos las muestras donde lo detecten, como indica julibaga, y tras analizarlos, informaremos



saludos



ms, 5-3-2009

[breadbeat]

ya esta enviado los 2 ficheros el spexesvc.exe y el 2.exe que por mucho que lo elimine de todos lados vuelve a aparecer, mil gracias por todo

[lucl]

Les pudiste añadir extension .VIR a los archivos? Sobre las muestras te diran algo a lo largo del dia estate atento al post saludos

[breadbeat]

no he podido lo he comprimido y le he puesto la contraseña "virus" como dice el tuto, mil gracias.

[lucl]

ok Pues estate atento al foro entonces que te diran algo sobre los envios saludos

[msc hotline sat]

Mientras analizamos las muestras enviadas, arranca en modo seguro y añade a estos ficheros la extension .VIR, como te indica lucl, que arrancando de esta manera se supone que podrás.



Aparte ya informaremos del analisis y monitorizacion de dichas muestras



saludos



ms, 5-3-2009

[msc hotline sat]

Monitorizadas las dos muestras, se implementa su control y eliminacion por separado, en nuestras dos utilidades ELITRIIP y ELISTARA, como Remote Admin. Process. launch y el segundo como Dropper Agent BSLD. ya que genera un SVCHOST malicioso, que tambien controlamos a partir del ELISTARA de hoy 18.15


[quote="msc"]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp





Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado de los procesos


[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





saludos



ms, 5-3-2009

[breadbeat]

ya estan enviadas las muestras de los dos con estension .vir con la misma contraseña que los otros 2

[msc hotline sat]

A partir de las 19 h GMT; descargue las dos utilidades indicadas, y tras probarlas, posteenos el contenido de c:\infosat.txt



saludos



ms, 5-3-2009

[breadbeat]

o.k ya me lo estoy descargando pero, hasta mañana por la mañana que no vaya al curro no puedo hacer nada, jejejejeje, mañana mando el ficherito txt, muchas gracias.

[lucl]

ok, recuerda pegarnos el log es muy importante!! saludos

[breadbeat]

Otra cosa que he decubierto si desconecto el equipo del la red, no sale el 2.exe ni el otro es decir que va por red y ahora mismo pruebo los dos archivos que me ha veis dicho

[breadbeat]

Bueno ya he hecho los dos analisis y esto es lo que pone:





Fri Mar 06 09:31:06 2009

EliTriIP v5.61 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Fri Mar 06 09:32:01 2009

EliTriIP v5.61 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Fri Mar 06 09:32:07 2009

EliTriIP v5.61 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\PSEXESVC.EXE --> Acceso Denegado, RemAdm-ProcLaunch (Reiniciar para completar la Limpieza)



Nº Total de Directorios: 7123

Nº Total de Ficheros: 108854

Nº de Ficheros Analizados: 15153

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0



Fri Mar 06 09:42:17 2009

EliTriIP v5.61 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Fri Mar 06 09:42:28 2009

EliTriIP v5.61 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\PSEXESVC.EXE.vir --> Eliminado, RemAdm-ProcLaunch



Nº Total de Directorios: 7123

Nº Total de Ficheros: 108851

Nº de Ficheros Analizados: 15153

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Fri Mar 06 09:52:52 2009

EliStartPage v18.15 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{85589B5D-D53D-4237-A677-46B82EA275F3}" -> NULL1

Eliminado Servicio, "AFSEGTGF Windows Service"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Mar 06 09:55:02 2009

EliStartPage v18.15 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7091

Nº Total de Ficheros: 95599

Nº de Ficheros Analizados: 15724

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



lo que pasa es que el elistartpaga v18.15 no me ha eliminado el fichero que esta en c:\windows\system32\2.exe he ido a buscarlo y seguia <[b][i]hay, haber [/i][/b]> ahí, a ver como lo veis

[msc hotline sat]

Esto puede ser por varias causas:



que tengas un downloader que intente descargarlo, y sin red no tengas acceso a ello



que sea un virus que intrusione por un agujero de seguridad no parcheado



que sea un troyano que intente propagarse por recursos compartidos, desde otros ordenadores



o simplemente que tengas un dropper que solo funcione si encuentra red, y entonces cree este 2.exe para propagarlo a traves de dicha red, y sino no haga nada



En cualquier caso, veamos que nos dice el ELISTARA actual, que es con el que controlamos dicha muestra.



saludos



ms, 6-3-2009







NOTA: y comentanos si tras ello y reiniciar, sigue regenerando dicho fichero... ms.

[msc hotline sat]

Como que he estado atendiendo el trabajo mientras posteaba mi anterior post, tu ya contestaste entre tanto :mrgreen:



Pues dos cosas:



Vemos:

[b][i]No detectado SP3 de Windows XP[/i][/b]



lanza un widnowsuopdate y actualiza parches !!!





y lo de que no detectas el 2.exe, voy a lanzarlo sobre la muestra recibida...

[msc hotline sat]

Pues el ELISTARA 18.15 detecta y elimina la muestra recibida del 2.EXE
[attachment=0]control2.GIF[/attachment]

Pruebalo arrancando en modo seguro, no sea que algun rootkit impida verlo...



y nos cuentas el resultado, gracias



saludos



ms, 6-3-2009

[breadbeat]

despues de pasarlo sigue saliendo, lo que voy a intenter pasarlo ahora en modo seguro.

[msc hotline sat]

Sí, he visto en tu infosat que ni lo detectaba, pero en cambio en nuestros ordenadores no ha habido problemas, y ello es posible que sea por ujn rootkit que tengas activo en memoria en tu ordenador, miralo:



Fri Mar 06 10:34:10 2009

EliStartPage v18.15 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "A:\"

A:\2.EXE --> Eliminado, Trojan.Agent.BSLD(dr)



pues comprueba si arrancando en modo seguro lo detecta y posteanos el resultado, gracias



saluydos



ms, 6-3-2009:

[breadbeat]

ya esta pasado en modo seguro y esto es lo que pone el archivo:

Fri Mar 06 09:31:06 2009

EliTriIP v5.61 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Fri Mar 06 09:32:01 2009

EliTriIP v5.61 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Fri Mar 06 09:32:07 2009

EliTriIP v5.61 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\PSEXESVC.EXE --> Acceso Denegado, RemAdm-ProcLaunch (Reiniciar para completar la Limpieza)



Nº Total de Directorios: 7123

Nº Total de Ficheros: 108854

Nº de Ficheros Analizados: 15153

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0



Fri Mar 06 09:42:17 2009

EliTriIP v5.61 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Fri Mar 06 09:42:28 2009

EliTriIP v5.61 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\PSEXESVC.EXE.vir --> Eliminado, RemAdm-ProcLaunch



Nº Total de Directorios: 7123

Nº Total de Ficheros: 108851

Nº de Ficheros Analizados: 15153

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Fri Mar 06 09:52:52 2009

EliStartPage v18.15 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{85589B5D-D53D-4237-A677-46B82EA275F3}" -> NULL1

Eliminado Servicio, "AFSEGTGF Windows Service"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Mar 06 09:55:02 2009

EliStartPage v18.15 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7091

Nº Total de Ficheros: 95599

Nº de Ficheros Analizados: 15724

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Mar 06 11:06:31 2009

EliTriIP v5.61 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Fri Mar 06 11:06:38 2009

EliTriIP v5.61 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\PSEXESVC.EXE --> Eliminado, RemAdm-ProcLaunch



Nº Total de Directorios: 6416

Nº Total de Ficheros: 94745

Nº de Ficheros Analizados: 13873

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Fri Mar 06 11:16:15 2009

EliStartPage v18.15 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Mar 06 11:16:22 2009

EliStartPage v18.15 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\2.EXE --> Eliminado, Trojan.Agent.BSLD(dr)



Nº Total de Directorios: 6412

Nº Total de Ficheros: 94741

Nº de Ficheros Analizados: 15436

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



ahora a ver si vuelve a saltar estando asi

[breadbeat]

me vuelve a saltar nada que no hay forma de parar al bicho infernal, jejejejejejeje

[msc hotline sat]

Pues ya ves que asi de ha detectado y eliminado:



Fri Mar 06 11:16:22 2009

EliStartPage v18.15 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\2.EXE --> Eliminado, Trojan.Agent.BSLD(dr)



Pues ya nos dirás si se te reporduce, pero eliminado lo está.



saludos



ms, 6-3-2009

[breadbeat]

si, si vuelve a salir

[breadbeat]

he instalado el SP3, le he pasado los archivos vuertros y sigue saliendo

[msc hotline sat]

Pues está claro que se regenera, ya que el ELISTARA en modo seguro lo detectó y eliminó, pero quien lo regenera, esta es la pregunta del millón !



Vamos a ver si es algo de esta máquina, para ello arranca en modo seguro con funciones de red y lanza este AV ONLINE:





https://www.kaspersky.es/downloads/thank-you/free-antivirus-download



Tanto en la carga de los datos como en el análisis tarda su tiempo, pero es necesario para obtener el informe que al final deberá postearse para su estudio.



Una vez procesado el link anterior, cuando haya terminado de cargar todo lo necesario, visualizará un pantalla de CONFIGURACION, en la que debe escogerse MiPC



y escanear hasta el final, y una vez llegado alli, seleccionar GUARDAR INFORME y salvarlo en .txt, y postearlo con un copiar y pegar en el próximo post, de respuesta a este Tema



Con ello podremos saber donde está el problema y pedir que nos envie los correspondientes ficheros para analizar, para implementar su control y eliminacion en nuestras utilidades, de lo cual informaremos.



saludos



ms, 6-3-2009

[julibaga]

Cuando lo pasaste en Modo seguro, deshabilitaste antes "Restaurar Sistema"??

[msc hotline sat]

Bueno julibaga, aclaro: Deshabilitar la restauracion de sistema lo hacemos cuando queremos acceder a la carpeta del RESTORE a efectos de eliminar un fichero infectado guardado allí, aunque ya esté inactivo, pero para que si en un futuro se quisiera acceder a un punto de restauracion, no se regenerara el virus, pero a efectos del informe que es lo que queremos, no afecta, ya que aunque lo hubiera, no estaría activo, por lo que no hace falta para lo que indicamos, el desactivar dicha restauracion de sistema.



Simplemente a titulo de informacion.



saludos



ms, 6-3-2009

[breadbeat]

si esta desabilitado el rastaurar sistema, y mil gracias por todo, el lunes en cuanto llege hago lo del antivirus por linea y os pongo el txt, de nuevo mil gracias a todos.