troyano 2.exe (TERMINADO)

Mensaje por **msc hotline sat** » 08 Mar 2009, 20:47

Pues no se olvide, cuando haya solucionado totalmente el problema, el volver a activar la restauracion de sistema, asi le irá haciendo puntos de restauracion a los cuales acceder en caso de que sea de su interés.

saludos

ms, 8-3-2009

breadbeat · Mensaje por **breadbeat** » 09 Mar 2009, 10:05

buenos dias, una cosa que se me ha ocurrido le puedo pasar los dos ficheros a los servidores tambien? me refiero al alistara y al otro

Mensaje por **msc hotline sat** » 09 Mar 2009, 10:21

Sí, pero si no hay ningun problema, desmarca la eliminacion automatica de la ventana de exploracion, para evitar falsos positivos.

Y nos posteas el infosat.txt resultante

saludos

ms, 9-3-2009

breadbeat · Mensaje por **breadbeat** » 09 Mar 2009, 13:17

AQUI ESTA EL INFORME:

-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

lunes, 09 de marzo de 2009 13:15:34

Sistema operativo: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.2

Ultima actualización: 9/03/2009

Registros en la base antivirus: 1700129

-------------------------------------------------------------------------------

Configuración del análisis:

Analizar usando las siguientes bases: standard

Analizar archivos: verdadero

Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:

C:\

D:\

E:\

F:\

G:\

H:\

J:\

Estadísticas:

Número de objeros analizados: 32997

Virus encontrados: 0

Objetos infectados: 0 / 0

Objetos sospechosos: 0

Duración del análisis: 00:32:35

Bombre del objeto infectado / Nombre del virus / Última acción

C:\Documents and Settings\Administrador.MARBELLA_CLUB\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrador.MARBELLA_CLUB\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Administrador.MARBELLA_CLUB\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Administrador.MARBELLA_CLUB\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrador.MARBELLA_CLUB\Configuración local\Historial\History.IE5\MSHist012009030920090310\index.dat Object is locked saltado

C:\Documents and Settings\Administrador.MARBELLA_CLUB\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Administrador.MARBELLA_CLUB\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\Administrador.MARBELLA_CLUB\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{E61AC4F1-5528-47EB-BCF9-291C23BDB67A}\RP2\change.log Object is locked saltado

C:\WINDOWS\CSC\00000001 Object is locked saltado

C:\WINDOWS\Debug\Netlogon.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado

C:\WINDOWS\system32\config\OSession.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

Análisis completado.

Mensaje por **msc hotline sat** » 09 Mar 2009, 13:42

Limpio ! :

Virus encontrados: 0

Objetos infectados: 0 / 0

Objetos sospechosos: 0

posteanos los infosat,txt que te genere el ELISTARA ya que has dicho que lo probarias...

saludos

ms, 9-3-2009

breadbeat · Mensaje por **breadbeat** » 09 Mar 2009, 16:16

este es el informe de el servidor haber que me podeis decir:

Mon Mar 09 16:00:06 2009

EliStartPage v18.15 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINNT\WEB\RELATED.HTM --> Eliminado

C:\WINNT\Tasks\At1.job --> Eliminado (Fichero Complementario).

C:\WINNT\Tasks\At2.job --> Eliminado (Fichero Complementario).

C:\WINNT\Tasks\At3.job --> Eliminado (Fichero Complementario).

C:\WINNT\Tasks\At4.job --> Eliminado (Fichero Complementario).

C:\WINNT\Tasks\At5.job --> Eliminado (Fichero Complementario).

C:\WINNT\Tasks\At6.job --> Eliminado (Fichero Complementario).

C:\WINNT\Tasks\At7.job --> Eliminado (Fichero Complementario).

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

ALERTA. WindowsUpdate Incompleto.

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Mar 09 16:00:45 2009

EliStartPage v18.15 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 1374

Nº Total de Ficheros: 36974

Nº de Ficheros Analizados: 8671

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mon Mar 09 16:10:37 2009

EliTriIP v5.61 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

ALERTA. WindowsUpdate Incompleto.

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Mon Mar 09 16:10:45 2009

EliTriIP v5.61 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINNT\PSEXESVC.EXE --> Eliminado, RemAdm-ProcLaunch

Nº Total de Directorios: 1374

Nº Total de Ficheros: 36969

Nº de Ficheros Analizados: 7830

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

julibaga · Mensaje por **julibaga** » 09 Mar 2009, 16:21

Importante que actualices el windows
[quote="breadbeat"]No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

ALERTA. WindowsUpdate Incompleto.

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)[/quote]

Mensaje por **msc hotline sat** » 09 Mar 2009, 17:46

Como que es un XP con SP3, lo mas importante es que se instale el MS08-067, que no lo cubre dicho SP3, y es básico para evitar la entrada del tristemente famoso Conficker, para lo cual es muy recomendable lanzar un windowsupdate.

saludos

ms, 9-3-2009

breadbeat · Mensaje por **breadbeat** » 10 Mar 2009, 09:47

no es un xp es un 2000 server con tecnologia NT

Mensaje por **msc hotline sat** » 10 Mar 2009, 11:07

Para el caso es lo mismo, sin el parche MS08-067 de Octubre de 2008, el W2000 aun con el SP4, tiene el mismo agujero que el XP con SP3, pero es raro que el Kaspersky detecte dicho XP si es un Windows 2000 :

[quote]AQUI ESTA EL INFORME:

-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

lunes, 09 de marzo de 2009 13:15:34

Sistema operativo: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)[/quote]

En tal caso, entendemos el porqué el ELISTARA detectaba la falta de otros parches que el SP3 ya estaban cubiertos:

[quote]EliTriIP v5.61 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

ALERTA. WindowsUpdate Incompleto.

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)[/quote]

Compruebe que tenga el SP4 instalado... no sea que se haya hecho una Reparacion de sistema (con lo cual se eliminan los parches) y no se hayan instalado posteriormente...

saludos

ms, 10-3-2009

Mensaje por **msc hotline sat** » 10 Mar 2009, 11:18

Y mas raro todavía, que nuestras utilidades tanto el ELITRIIP como el ELISTARA le decian:

No detectado SP3 de Windows XP

No será que nos ha posteado logs e informes de dos ordenadores distintos, uno server w2k y otro con XP ???

saludos

ms, 10-3-2009

breadbeat · Mensaje por **breadbeat** » 10 Mar 2009, 16:57

el ultimo post es el del servidor, los otros post es de cliente que tienen xp

Mensaje por **msc hotline sat** » 10 Mar 2009, 17:08

Lo que me temía ! los logs deben ser de un solo ordenador, sino la liamos !!!

En tal caso, damos por terminado el Tema y procedenmos a cerrarlo.

Si quieres algo mas, abre un nuevo Tema y centrate en un solo ordenador, y los logs e informes que sean siempre del mismo, claro ! y pasamos a olvidar el lio que se ha armado en este al mezclar logs de mas de uno...

Recuerdese que ya deciamos antaño:

https://foros.zonavirus.com/viewtopic.php?f=13&t=6268

...

saludos

ms, 10-3-2009

troyano 2.exe (TERMINADO)

Re: troyano 2.exe

Re: troyano 2.exe

Re: troyano 2.exe

Re: troyano 2.exe

Re: troyano 2.exe

Re: troyano 2.exe

Re: troyano 2.exe

Re: troyano 2.exe

Re: troyano 2.exe

Re: troyano 2.exe

Re: troyano 2.exe

Re: troyano 2.exe

Re: troyano 2.exe