Me baje un archivo infectado (TERMINADO)

[Sash]

Hola, esta tarde al bajarme un archivo, me di cuenta que estaba infectado. Vi que era una especie de msn stealer que roba contraseñas guardadas de msn y firefox.

Nose que hacer, ya que he iniciado en modo seguro y he usado el autoruns para borrar el proceso de inicio pero dice que no tengo permisos, por lo tanto se sigue iniciando cuando inicio windows.

El proceso en si no hace nada, pero al ser una especie de msn stealer, estoy preocupado por mi privacidad.

Crea varios procesos raros en el administrador de tareas, uno de los cuales no se puede detener.



Necesito ayuda, Muchas gracias de antemano a todos los que puedan colaborar a resolver esto.

[msc hotline sat]

Prueba el ELISTARA y el ELITRIIP y nos posteas el informe resultante:





[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





Si no detectaran nada ni pideran muestras de sospechosos, envianos el fichero que te bajaste y tras monitorizarlo, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos:





>[b]ENVIO DE MUESTRAS Y



ELIMINACION DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 23-5-2009

[Sash]

Aqui van los informes del Elistart y Elitrip



En el informe del elitrip no habia nada infectado...



Muchas gracias por ayudarme. Espero tu respuesta.


[attachment=0]InfoSatELISTAR.txt[/attachment]

[attachment=1]InfoSatELITRIP.txt[/attachment]

[msc hotline sat]

Pero le dice:



No detectado SP3 de Windows XP



Lance un windowsupdate e instale los parches que detecte faltan.



Y no vemos informes por Exploración de ambas utilidades ...



y envienos el fichero que dice descargó y ejecutó, tras analizarlo implementaremos su control y eliminación en nuestras utilidades, de lo cual informaremos



y si quiere, aparte de enviarnos por mail el fichero sospechoso, pruebe el SPROCES y nos postea el informe resultante, a ver si le podemos adelantar que haga algo mientras:


[quote="msc escribió"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 23-5-2009

[Sash]

Ya he mandado la muestra.



Aqui le dejo el log del sprocess.





Muchas gracias otra vez.


[attachment=0]SProcLog.txt[/attachment]

[msc hotline sat]

Pues parece que no tienes instalado el SP3, y aun vas con I.E. 6...



Conviene que lances un windowsupdate e instales los parches que te detecte que faltan



Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;



_____



<por lo demas no aparece nada sospechoso en el log, debe ser de los que lo ocultan con un rootkit, pero con la muestra pedida, el lunes lo mpnotorizaremos y pasaremos a controlarlo.



saludos



ms, 23-5-2009

[Sash]

Muchas gracias, ahora mismo estoy actualizando con Windows Update.



Esperare hasta el Lunes entonces. Muchas gracias.

[msc hotline sat]

Y dinos mientras, el nombre del fichero en cuestion, a ver si aparece en el log, o alguna relacion con su autor ???


[quote]


(23-5-2009 17:37:46)

SProces v3.5 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v6.0.2900.2180) ;SP2;

Nombre Equipo: DESKTOP

Nombre Usuario: Administrador



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA INTERNET SECURITY 2007\PAVSRV51.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA INTERNET SECURITY 2007\AVENGINE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA INTERNET SECURITY 2007\PAVFNSVR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\PANDA SOFTWARE\PAVSHLD\PAVPRSRV.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA INTERNET SECURITY 2007\ANTISPAM\PSKMSSVC.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA INTERNET SECURITY 2007\APVXDWIN.EXE

C:\ARCHIVOS DE PROGRAMA\ITUNES\ITUNESHELPER.EXE

C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\WINDOWS\SYSTEM32\IGFXPERS.EXE

C:\ARCHIVOS DE PROGRAMA\TASKSWITCHXP\TASKSWITCHXP.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA INTERNET SECURITY 2007\FIREWALL\PSHOST.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA INTERNET SECURITY 2007\PSIMSVC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA INTERNET SECURITY 2007\PSCTRLS.EXE

C:\ARCHIVOS DE PROGRAMA\IPOD\BIN\IPODSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA INTERNET SECURITY 2007\SRVLOAD.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA INTERNET SECURITY 2007\WEBPROXY.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA INTERNET SECURITY 2007\PAVBCKPT.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\CONTACTS\WLCOMM.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: 127.0.0.1 ... lineas del spybot eliminadas

O2 - BHO: (no name) - {CF5EE7DF-9D28-4121-A275-745E434C3E58} - (no file)

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QT Lite\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [TrojanScanner] C:\Archivos de programa\Trojan Remover\Trjscan.exe

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: &Download by Arles Download Manager - C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Ariel Download Manager\DownloadManager.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.es/scan_es/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1226855633812

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F45A20EE-1276-4FF1-BCE3-B20D796803D7}: NameServer = 193.152.63.197

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: AVLDR - AVLDR.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Panda CPoint Driver (cpoint) - Panda Software - C:\WINDOWS\SYSTEM32\Drivers\cpoint.sys

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: ElbyCDIO Driver (ElbyCDIO) - Elaborate Bytes AG - C:\WINDOWS\SYSTEM32\Drivers\ElbyCDIO.sys

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PsCtrls.exe

O23 - Service: pavdrv (PAVDRV) - Panda Software International - C:\WINDOWS\SYSTEM32\DRIVERS\pavdrv51.sys

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PavFnSvr.exe

O23 - Service: Panda Process Protection Driver (PavProc) - Panda Software International - C:\WINDOWS\system32\DRIVERS\PavProc.sys

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software International - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\pavsrv51.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe

O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\archivos de programa\panda software\panda internet security 2007\firewall\PSHOST.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PsImSvc.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: Hercules Blog Webcam (APL531) - Guillemont Corporation - C:\WINDOWS\SYSTEM32\Drivers\BLvid.sys

O23 - Service: camfilt - Guillemot Corporation - C:\WINDOWS\SYSTEM32\Drivers\camfilt.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: ElbyCDFL - SlySoft, Inc. - C:\WINDOWS\SYSTEM32\Drivers\ElbyCDFL.sys

O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: PANDA NDIS IM Filter Miniport (NETIMFLT) - Panda Software - C:\WINDOWS\SYSTEM32\DRIVERS\netimflt.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: Apple Mobile USB Driver (USBAAPL) - Apple, Inc. - C:\WINDOWS\SYSTEM32\Drivers\usbaapl.sys

O23 - Service: 802.11g Wireless USB Adapter(Arcadyan Technology Corporation) (WN4501HLFZZ(Arcadyan Technology Corporation)) - Arcadyan Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\O4501U.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP1.EXE

O23 - Service: Epson Printer Status Agent4 (StatusAgent4) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\SAgent4.exe



33 Servicios.

15 de Carga Automatica.

15 de Carga Manual.

3 Deshabilitados.
[/quote]

Igual podemos apañarlo a la espera de la monitorizacion y control de la muestra enviada.



saludos



ms, 24-5-2009

[Sash]

Esto es lo que encontre en donde me baje el archivo, uno posteo esto:



crea esto:



se crean estos procesos dwwin.exe y drwtsn32.exe



y:



- Foreign Memory Regions Read:

Process: C:\WINDOWS\explorer.exe

Process: C:\WINDOWS\system32\alg.exe

Process: C:\WINDOWS\system32\cmd.exe

Process: C:\WINDOWS\system32\csrss.exe

Process: C:\WINDOWS\system32\ctfmon.exe

Process: C:\WINDOWS\system32\drwtsn32.exe



Changes security settings of Internet Explorer: This system alteration could seriously affect safety surfing the World Wide Web. medium



Creates files in the Windows system directory: Malware often keeps copies of itself in the Windows directory to stay undetected by users. medium



Performs File Modification and Destruction: The executable modifies and destructs files which are not temporary. high



Spawns Processes: The executable produces processes during the execution. low



Performs Registry Activities: The executable reads and modifies register values. It also creates and monitors register keys. low

[msc hotline sat]

Estos ficheros son del sistema o del Dr Watson, tipicos de errores, pero lo que te pido es el nombre del fichero que bajaste, en definitiva, el nombre del fichero que nos has enviado... como dices haber hecho .



Con ello igual podemos adelantar la desinfeccion.



saludos



ms, 24-5-2009

[Sash]

El nombre del archivo es: Simple Msn Stealer 1.2

El exe que hay dentro es Msn Stealer 1.2.exe

[msc hotline sat]

Pues como habrás visto, no aparece dicho nombre en los logs...



Posiblemente este sea el nombre del instalador y luego instala los ejecutables con otros nombres



Sea como fuere, debe tratarse de un cazapasswords de MSN, y cuando recibamos la muestra, lo analizaremos y obraremos en consecuencia.



saludos



ms, 24-5-2009

[msc hotline sat]

Recibidos los dos ficheros, el bug.exe tiene rutinas maliciosas que pasamos a controlar y eliminar a partir del ELISTARA de hoy 18.68




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]





A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





saludos



ms, 25-5-2009

[Sash]

Estoy a la espera de los resultados. Gracias

[msc hotline sat]

Me parece que no entendió mi anterior post.



Le deciamos que habiamos implementando el control de la muestra enviada por Vd, en el ELISTARA 18.68. Ahora ya tenemos incluso el 18.69, descarguelo, pruebelo y posteenos el recultado, con el contenido del c:\infosat.txt que genere.



No sé que otra cosa espera ???



saludos



ms, 27-5-2009

[Sash]

Perdon, fue fallo mio. Lo siento.



Bueno en primer lugar, el Elistara se me queda tilt al Eliminar temporales de IE.

Aun asi, me hace el informe que aqui adjunto:
[attachment=0]InfoSat.txt[/attachment]



Gracias

[msc hotline sat]

Tienes cantidad de entradas del spybot, que enmaraña el informe.



Mejor arranca en modo seguro y lanza el ELISTARA y di que no a las preguntas que te hace hasta llegar a la pantalla de EXPLORAR, que explore y nos posteas el resultado.



Aparte si tienes el fichero que sabes era malware, envianoslo para controlar



saludos



ms, 27-5-2009





NOTA:




[quote][b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir los ficheros, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos[/quote]

[Sash]

Hare eso, pero ya les mande la muestra del archivo no es asi?

[msc hotline sat]

REvisadas las entradas de muestras para analizar de esta semana, vemos que el lunes enviaste dos ficheros, uno de los cuales dio positivo y se paso a controlar con el ELISTARA, como se indicó en:



https://foros.zonavirus.com/viewtopic.php?f=11&t=28668



Si el fichero está como BUG.EXE lo debe controlar y eliminar dicha utilidad.



SALUDOS



MS, 27-5-2009







NOTA: Ademas ello ya se le indicó otra vez...:


[quote="msc"]Me parece que no entendió mi anterior post.



Le deciamos que habiamos implementando el control de la muestra enviada por Vd, en el ELISTARA 18.68. Ahora ya tenemos incluso el 18.69, descarguelo, pruebelo y posteenos el recultado, con el contenido del c:\infosat.txt que genere.



No sé que otra cosa espera ???



saludos



ms, 27-5-2009 [/quote]

[Sash]

Pues debe tratarse de un error porque que yo sepa, yo envie solo un fichero y este tenia como nombre:

Simple Stealer 1.2.exe





Puede que haya mandado el fichero comprimido en el que estaba pero el nombre del malware era este.



Espero respuestas. Muchas gracias

[msc hotline sat]

el fichero empaquetado Simple_Stealer_1.2.zip que nos envió, generó una carpeta de nombre Simple Stealer 1.2



Dicha carpeta Simple Stealer 1.2 contenia dos subcarpetas, Bug Report y otra de nombre Builder



En la de Bug Report habia el fichero malware BuG.exe, y en la otra un Simple Stealer 1.2.exe en el que no detectamos nada.



Pues dicho BuG.exe es un malware que pasamos a controlar como Fujack.U "BUG.EXE" , segun indicado.



Pruebe el ELISTARA actual y si lo tiene desempaquetado, se lo dtectará y eliminará. Sino desempaquete el Simple_Stealer_1.2.zip y vea lo que le genera.



saludos



ms, 27-5-2009

[Sash]

No voy a ejecutar el .exe otra vez.

Pero, el Elistara en modo seguro no lo detecto, nose porque sera.

Y usted?



Muchas gracias.

[Sash]

Acabo de analizar la carpeta contenedora de bug.exe y si, la desinfecta.

Pero ahora mi pregunta es: Yo ejecute el Simple stealer 1.2.exe lo cual supongo habra abierto el bug.exe.

Ese es el que supuestamente robo contraseñas. Pero sigue el malware activo en el sistema?

Ya que el Elistara solo lo detecto de la carpeta en la que descomprimi.

Nose, alomejor el malware solo funciona hasta que reinicie o algo por el estilo.

Estoy preocupado porque ningun programa desinfecto el progreso o la actividad del virus.

Solo cuando lo descomprimi y le puse desinfectar esa carpeta.

Seguira el malware activo?



Ya que el trojan remover encuentra esto y no puede borrarlo:

En: C:\WINDOWS\system32\cabine.dll



Registry Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CF5EE7DF-9D28-4121-A275-745E434C3E58}



Ya que dice que no tengo permisos para borrarlo. Sin embargo soy Administrador.



Gracias de nuevo

[msc hotline sat]

Pues envianos este CABINE.DLL y tras analizarlo, informaremos



De momento, ademas, añadele .VIR a su extension, para que no se ponga en marcha tras reiniciar.





>[b]ENVIO DE MUESTRAS Y



ELIMINACION DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 28-5-2009

[Sash]

El archivo cabine.dll no esta en el directorio que indica el trojan remove (que no puede borrar porque dice que no tiene permisos)

Sin embargo hay otro que se llama cabinet.dll pero que arece estar limpio y ser el original de windows.



Que debo hacer?



Gracias

[msc hotline sat]

No ha entrado ningun cabine.dll con tu nick, pero solo hace 10 minutos que dices haberlo enviado... Es posible que esté dando vueltas, a los mails les gusta pasear , no es como los fax que a medida que entraba el papel en el emisor, salía por el ortro lado de la línea...



Si lo has enviado como indicamos, deberá llegar esta misma tarde ...



saludos



ms, 28-5-2009

[Sash]

No lo envie, como explique arriba.



Gracias.

[msc hotline sat]

Ya, nos cruzamos los post (fijese que estan hecho con un minuto de diferencia, y yo estaba ya escribiendolo cuando envió el suyo :? )



Pues interesa mucho el primero, el que no encuentra. Tras de arrancar en modo seguro como administrador, a ver si asi lo localiza, y sino, en dicho modo, pruebe con el ELIMOVER:





ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp



a ver si nos lo puede enviar, es muy importante en su caso, para poder monitorizarlo deshacer lo que ha hecho.



saludos



ms, 28-5-2009

[Sash]

Al ejecutar el Elimover, me aparece el siguiente mensaje:



Archivo modificado posiblemente por un Virus.

Contacte con SATINFO.





Esto me sale en el modo prueba de errores al igual que el normal.



Que debo hacer? Bajar el Elimover desde el modo seguro ?



Espero sugerencias. Muchas gracias

[msc hotline sat]

Pues malo, malo ...



Acabo de probar bajarmela yo, por si hubiera sido modificada en la web, y funciona correctamente, asi que prueba bajarla de nuevo, y si persiste el mensaje, sube este fichero ELIMOVER.EXE al VirusTotal : www.virustotal.com/es y nos posteas el informe resultante.



Me temo que tengas algun virus infector que está modificando tis ficheros, aunque solo salte la alarma en nuestras utilidades, gracias a su comprobacion de integridad (autochecksum)



Pero si decias haber pasado el ELISTARA y no alertó de ello, igual es una mala descarga y ahora el ELIMOVER ya irá bien, tras descargarlo de nuevo...



Nos cuentas el resultado, gracias



saludos



ms, 29-5-2009