me ha caido qhosts ya intente varias cosas y nada
ya me desespere y pues acudo a ustedes..
paso elistara y no detecta nada.
crea una carpeta oculta RECYCLER
afortunadamente el nod32 la borra pero es molesto el aviso que esta continuamente saliendo..
le corri el superantispayware y nada
intente correr el spybot, perono me deja ejecutarlo
asimsimo ya desactivo el restaurar istema, regedit, etc.
logre capturar tanto la carpeta recycler como otro archivo, siguiendo sus directiva.
de antemano las gracias y en espera de una respuesta.
hasta la vista
trojano qhosts
trojano qhosts
como estrecharas la mano, si tienes el puño cerrado
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: trojano qhosts
Es muy propio de virus que se propagan por pendrive.
vacune todas sus unidades de disco y pendrive con el ELIPEN:
[b]ELIPEN.EXE[/b]
http://www.zonavirus.com/descargas/elipen.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
En dicho informe veremos si había algun AUTORUN y en tal caso lo que lanzaba, para ello editelo con el bloc de notas y posteenos su contenido, para ver el fichero que lanzaba (desde \RECYCLER\s-1-...) y con el ELIMOVER poder copiarlo a C:\muestras desde donde enviarnoslo para analizar (ademas convendrá marcar la casilla inferior izquierda del ELIMOVER para renombrar el fichero de marras a .VIR)
Espero que con ello podamos controlar este troyano que le está incordiando.
saludos
ms, 21-4-2009
NOTA: Se supone que ha probado el ELISTARA, pero por si no lo hubiera hecho, hagalo:
vacune todas sus unidades de disco y pendrive con el ELIPEN:
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
En dicho informe veremos si había algun AUTORUN y en tal caso lo que lanzaba, para ello editelo con el bloc de notas y posteenos su contenido, para ver el fichero que lanzaba (desde \RECYCLER\s-1-...) y con el ELIMOVER poder copiarlo a C:\muestras desde donde enviarnoslo para analizar (ademas convendrá marcar la casilla inferior izquierda del ELIMOVER para renombrar el fichero de marras a .VIR)
Espero que con ello podamos controlar este troyano que le está incordiando.
saludos
ms, 21-4-2009
NOTA: Se supone que ha probado el ELISTARA, pero por si no lo hubiera hecho, hagalo:
[quote="para DESCARGAR el ELISTARA, msc"]http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso[/quote]
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: trojano qhosts
Recibidas muestras pedidas, está muy claro que se trata de una variante de TROJAN.AGENT.ABUE que pasaremos a monitorizar e implementar su control y eliminacion en la version de hoy del ELISTARA 18.45
Ya la version actual corregirá el HOSTS, pues se trata de las mismas entradas de redireccionamiento al LOCAL HOST que ya hacía en las anteriores versiones, y el fichero tiene similares propiedades, modifica el SAFEBOOT para que no se pueda arrancar en modo seguro, impide ejecutar el CMD, acceder al REGEDIT¡ y al TASKMANAGER, cambiar las opciones de carpeta para ver ficheros ocultos, y evidentemente oculta con atributos de H, R, S los ficheros troyanos, como el que esconde en el RECYCLER
Y va cambiando de nombres de ficheros periodicamente, por lo que puede que queden AUTORUN.INF "cojos" que deberán borrarse manualmente, aunque sin los ficheros a los que llama, de nada sirven.
Además se propaga por pendrive, como ya habiamos indicado en post anteriores.
A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus
saludos
ms, 21-4-2009
NOTA: Los ficheros ocultos dentro de la carpeta recycler que nos ha enviado son:
74.741 fcond.exe
74.741 frun.exe
74.741 fopen.exe
74.741 frewt.exe
Resultando ser todos ellos identicos. Dichos ficheros los puede ver y acceder con el ELIMOVER, que para esto lo hicimos, entrando como ruta y nombre:
C:\RECYCLER\S-1-6-20-3802918391-3809376219-530039213-2313\fcond.exe
Aparte se carga con un debug de un fichero con apariencia de AVG, lo cual pasará desapercibido con el HJT, y toquetea la configuracion de la red... toda una joya ! . ms.
Ya la version actual corregirá el HOSTS, pues se trata de las mismas entradas de redireccionamiento al LOCAL HOST que ya hacía en las anteriores versiones, y el fichero tiene similares propiedades, modifica el SAFEBOOT para que no se pueda arrancar en modo seguro, impide ejecutar el CMD, acceder al REGEDIT¡ y al TASKMANAGER, cambiar las opciones de carpeta para ver ficheros ocultos, y evidentemente oculta con atributos de H, R, S los ficheros troyanos, como el que esconde en el RECYCLER
Y va cambiando de nombres de ficheros periodicamente, por lo que puede que queden AUTORUN.INF "cojos" que deberán borrarse manualmente, aunque sin los ficheros a los que llama, de nada sirven.
Además se propaga por pendrive, como ya habiamos indicado en post anteriores.
[quote][b]ELISTARA:[/b] http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso[/quote]
A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus
saludos
ms, 21-4-2009
NOTA: Los ficheros ocultos dentro de la carpeta recycler que nos ha enviado son:
74.741 fcond.exe
74.741 frun.exe
74.741 fopen.exe
74.741 frewt.exe
Resultando ser todos ellos identicos. Dichos ficheros los puede ver y acceder con el ELIMOVER, que para esto lo hicimos, entrando como ruta y nombre:
C:\RECYCLER\S-1-6-20-3802918391-3809376219-530039213-2313\fcond.exe
Aparte se carga con un debug de un fichero con apariencia de AVG, lo cual pasará desapercibido con el HJT, y toquetea la configuracion de la red... toda una joya ! . ms.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: trojano qhosts
Un caluros resaludo
pues te comento que corri el nod32 y despues de terminar, me indico que reiniciara y voala! se fue aunque me quedo sin restaurar sistema, el taskmanager si lo he podido usar, y con los archivos ocultos estuve peleanbdo bastante pero logre agarrar los ficheros que les envie, ahora que salga elistara lo correre y les mando el txt que me indican..
pues se agradece su aporte y ya nos estaremos viendo
suerte
y mil gracias..
pues te comento que corri el nod32 y despues de terminar, me indico que reiniciara y voala! se fue aunque me quedo sin restaurar sistema, el taskmanager si lo he podido usar, y con los archivos ocultos estuve peleanbdo bastante pero logre agarrar los ficheros que les envie, ahora que salga elistara lo correre y les mando el txt que me indican..
pues se agradece su aporte y ya nos estaremos viendo
suerte
y mil gracias..
como estrecharas la mano, si tienes el puño cerrado
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: trojano qhosts
Bien, la 18.45 del ELISTARA ya fue subida a esta web ayer tarde ... (3 horas antes de que postearas tu ultimo mensaje...) -ten presente que las 19 GMT debe ser mediodía en tu zona -
https://foros.zonavirus.com/viewtopic.php?f=11&t=28333
Tras descargarla, pruebala y nos posteas el contenido de c:\infosat.txt resultante, gracias
saludos
ms, 22-4-2009
ref MX/MXDF+19.43-99.14
Tras descargarla, pruebala y nos posteas el contenido de c:\infosat.txt resultante, gracias
saludos
ms, 22-4-2009
ref MX/MXDF+19.43-99.14
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online