Un nuevo virus

[tyryllas]

Buenas , vengo aqui como ayuda ,porque un virus me ha entrado y no consigo elimanar , despues de pasar el elistara este es su resultado ,





(27-4-2009 12:28:59)

EliStartPage v18.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\aschsl.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\aschsl.exe

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(27-4-2009 12:29:16)

EliStartPage v18.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6238

Nº Total de Ficheros: 49617

Nº de Ficheros Analizados: 18632

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(27-4-2009 12:30:48)

EliStartPage v18.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 146

Nº Total de Ficheros: 6471

Nº de Ficheros Analizados: 139

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Spy.ZBot.BU

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



EliNotify v1.9.04.23 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Spy.Zbot.BU

Restaurado Valor "UserInit"

Desinstalado EliNotif.dll



(27-4-2009 12:34:41)

EliStartPage v18.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\aschsl.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\aschsl.exe

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\TWEXT.EXE.Muestra EliStartPage v18.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\TWEXT.EXE --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(27-4-2009 12:35:05)

EliStartPage v18.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6237

Nº Total de Ficheros: 49610

Nº de Ficheros Analizados: 18629

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(27-4-2009 12:40:33)

EliStartPage v18.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 146

Nº Total de Ficheros: 6471

Nº de Ficheros Analizados: 139

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



os envio las muestras que me pedis , gracias por vuestra ayuda y trabajo que es realmente excepcional . Un saludo

[msc hotline sat]

Sin duda es otra variante de la temible familia ZBOT, al menos este TWEXT.EXE



Las analizaremos tan pronto nos entren e informaremos al respecto, a ver si hoy mismo podemos ya controlarlas



saludos



ms, 27-4-2009

[msc hotline sat]

Efectivamente, se trata de ZBOT y compañía...(Fake Alert, clicker, etc)



Implementamos su control y eliminacion en el ELISTARA de hoy 18.49, si bien necesitará el nuevo ELINOTIF.DLL:




[quote]
[b] ELISTARA.EXE: [/b]

http://www.zonavirus.com/descargas/elistara.asp



[b] ELINOTIF.DLL:[/b]

http://www.zonavirus.com/descargas/elinotif.asp



Descargue las dos en una misma carpeta y pruebe el ELISTARA, y tras reiniciar y posteenos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 27-4-2009

[tyryllas]

Ok , ahora cuando este subido el nuevo elistara , lo ejecutare y te pegare de nuevo el informe .



Gracias por la ayuda

[tyryllas]

msc hotline sat hay algun problema con la web ? porque no veo el Elistara 18.49 , solo el 48 , y como dices que a partir de las 19:00 h estara listo para descargar ... pues eso hay algun problema o me puedes poner el link a la descarga ?

[msc hotline sat]

Las 19 GMT será de aqui media hora ... y no he podido antes



Pero ya están subidas.



saludos



ms, 27-4-2009

[tyryllas]

Perdon me lie con las horas . . .



Bueno tras pasar el nuevo Elistara , me elimino 5 entradas , pero hay algo que no encaja porque tras reiniciar y volver a pasar el Elistara , me sigue diciendo que envie una muestra que no tengo .



este es el ultimo log del Elistara





(27-4-2009 19:12:49)

EliStartPage v18.49 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\aschsl.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\aschsl.exe

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(27-4-2009 19:13:04)

EliStartPage v18.49 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6281

Nº Total de Ficheros: 51136

Nº de Ficheros Analizados: 18863

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Que es lo que ocurre ? dixo archivo no lo tengo y creo que aun sigo infectado ...



Este es el archivo que me sale al buscar pero no coincide con el que me pide para que os envie " aschsl.exe-15B19DB.pf " y esta en la carpeta c/WINDOWS/Prefecth , es este ? Que puede estar ocurriendo ?

[lucl]

Que lo tengas oculto mirate este link







https://foros.zonavirus.com/viewtopic.php?f=5&t=13245





Mira si los encuentras, y no, los prefetch ( pf) no nos sirven para monitorizar, intentalo de nuevo y nos comentas saludos

[tyryllas]

Pues ya lo habia mirado y tampoco esta el archivo , vamos que no lo encuentro por ningun lao solo ese que os he dicho y si decis que no vale , pues entonces no se porque me pide un archivo que no tengo :S



Pase el antivirus onlyne Kapersky quizas ayude al informe , este es su resultado .



lunes, 27 de abril de 2009 22:04:13

Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.2

Ultima actualización: 27/04/2009

Registros en la base antivirus: 1884471





Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero



Objetivo a analizar Mi PC

A:\

C:\

D:\

E:\

F:\



Estadísticas

Número de objeros analizados 61182

Virus encontrados 2

Objetos infectados 2 / 0

Objetos sospechosos 0

Duración del análisis 00:32:36



Bombre del objeto infectado Nombre del virus Última acción

C:\Archivos de programa\Telefonica\KitAIM\AVS.log Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\Tyry\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado



C:\Documents and Settings\Tyry\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Tyry\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado



C:\Documents and Settings\Tyry\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\Tyry\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\Tyry\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Tyry\Configuración local\Historial\History.IE5\MSHist012009042720090428\index.dat Object is locked saltado



C:\Documents and Settings\Tyry\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\Tyry\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\Tyry\ntuser.dat.LOG Object is locked saltado



C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado



C:\System Volume Information\_restore{C5B151D9-1647-4D70-9FFC-26007702BCE8}\RP197\change.log Object is locked saltado



C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado



C:\WINDOWS\SchedLgU.Txt Object is locked saltado



C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado



C:\WINDOWS\Sti_Trace.log Object is locked saltado



C:\WINDOWS\system32\678739907.dat Object is locked saltado



C:\WINDOWS\system32\aschsl.exe Object is locked saltado



C:\WINDOWS\system32\config\ACEEvent.evt Object is locked saltado



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\default Object is locked saltado



C:\WINDOWS\system32\config\default.LOG Object is locked saltado



C:\WINDOWS\system32\config\Internet.evt Object is locked saltado



C:\WINDOWS\system32\config\SAM Object is locked saltado



C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\SECURITY Object is locked saltado



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado



C:\WINDOWS\system32\config\software Object is locked saltado



C:\WINDOWS\system32\config\software.LOG Object is locked saltado



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\system Object is locked saltado



C:\WINDOWS\system32\config\system.LOG Object is locked saltado



C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado



C:\WINDOWS\system32\h323log.txt Object is locked saltado



C:\WINDOWS\system32\wbem\proquota.exe Infectados: Trojan.Win32.Inject.wge saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado



C:\WINDOWS\wiadebug.log Object is locked saltado



C:\WINDOWS\wiaservc.log Object is locked saltado



C:\WINDOWS\WindowsUpdate.log Object is locked saltado



D:\Internet\ELITRIIP.AABDB%D8%D8I.EXE Infectados: Trojan-Downloader.Win32.Agent.bpzz saltado



D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado



Análisis completado.



Aver que es lo que pasa porque me he quedao sorprendido que el archivo de antes no salga y si sale otro y encima el Elitrip lo trata como troyano ...



Un saludo .

[msc hotline sat]

Pues envianos este fichero para analizar:



C:\WINDOWS\system32\wbem\proquota.exe Infectados: Trojan.Win32.Inject.wge saltado











[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 28-4-2009









nota : y lo otro es un falso positivo ya conocido, ni caso.