VIRUS O ESPYWARE (SOLUCIONADO)

[joderte]

TENGO UN VIRUS O ESPYWARE EN EL DISCO D: EL SINTOMA ES EL SIGUIENTE EL ADMINISTRADOR DE TAREAS HA SIDO DEHABILITADO X EL VIRUS SIGO LA RUTA EN EL REGEDIT Y DOY CON EL VALOR DWORD DISABLETASKMRG O ALGO ASI Q ES EL DE EL ADMINITRADOR DE TAREAS Y EL VALOR ESTA EN 1 CUANDO DEBE DE SER CERO LO CAMBIO Y LUEGO VUELVE A 1 CUANDO KIERO ACCEDER AL ADMINISTRADOR DE TAREAS ME SALE UN MENSAJE DE ERROR QUE DICE: "EL ADMINISTRADOR DE TAREAS HA SIDO DEHABILITADO POR UN ADMINISTRADOR".

LO Q ME HACE PENSAR QUE ESTA EN EL D: ES QUE LE DI FORMATOA LA UNIDAD C: (DONDE ESTA EL SISTEMA) PERO ELPROBLEMA PERSISTIO LO Q KIERE DECIR Q ME VOLVI A INFECTAR



NOTA: LE PASE NOD32 (EL CUAL TENIA INSTALADO AL MOMENTO DE LA INFECCION) TAMBIEN LE PASE, NORTON, AVAST, AVIRA, ELISTARA Y EL MATA RECYCLER PUES TENGO TBM EN CADA UNIDAD UNA CARPETA RECYCLER (¿ES ESTO NORMAL?)

DATOS: S.O. WINDOWS XP

PARTICIONES: C: Y D: EN C: TENGO EL SISTEMA

ANTIVIRUS USADO: NOD32 NINGUN ANTIVURIS LO DETECTA ALMENOS DE LOS QUE PROBE DEBIDAMENTE ACTUALIZADOS CLARO

[lucl]

Ejecuta hijackthis y peganos el log





[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

• [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



Ademas si pasaste elistara deberias pegarnos el log de infosat que te dejo en C , o si no lo tienes pasalo de nuevo y nos lo pegas saludos





http://www.zonavirus.com/descargas/elistara.asp



Ah y si no te importa escribe en minusculas que lo entendemos bien :wink: saludos

[joderte]

TENGO OTRO DATO ME DESCARGE ELITRIP X SI ME AYUDABA Y PES NA LO GUARDE EN MI ESCRITORIO PERO CUANDO LO KISE EJECUTAR ME BOTO UN MENSAJE "ARCHIVO MOVIFICADO X VIRUS CONTACTE CON SATINFO" POSIBLEMENTE X ESO NO LO DETECTAN LOS ANTIVIRUS



AKI LES PEGO EL LOG DEL HIJAKTINS:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:39:30, on 31/05/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Archivos de programa\ESET\ESET Smart Security\egui.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Gb-razgojWC\inicia.exe

C:\Gb-razgojWC\btdna.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsue.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - Global Startup: Actualizar la licencia del NOD32.lnk = C:\Archivos de programa\ESET\ESET Smart Security\MiNODLogin.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=29223

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe



--

End of file - 4030 bytes

[joderte]

AKI ESTA EL LOG DEL ELISTARA:





(31-5-2009 15:49:23)

EliStartPage v18.72 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 29 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



(31-5-2009 15:49:42)

EliStartPage v18.72 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 29 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 150

Nº Total de Ficheros: 719

Nº de Ficheros Analizados: 325

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(31-5-2009 15:49:51)

EliStartPage v18.72 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 29 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 702

Nº Total de Ficheros: 6477

Nº de Ficheros Analizados: 2403

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(31-5-2009 15:51:44)

EliStartPage v18.72 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 29 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow



Nº Total de Directorios: 1185

Nº Total de Ficheros: 13838

Nº de Ficheros Analizados: 4390

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[msc hotline sat]

Pues empieza por actualizar los parches de microsoft lanzando un windowsupdate, ya que te faltan todos los del SP3 y posteriores, como el MS08-067 contra el Conficker !!!

[b][i]

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)[/i][/b]





Aparte envianos estos ficheros para analizar:



C:\Gb-razgojWC\inicia.exe



C:\Gb-razgojWC\btdna.exe







y añadeles extension .VIR para que tras reiniciar no se puedan poner en uso.





Por cierto, ya que hablas de Recycler... vacuna tu ordenador y pendrives con el ELIPEN:





vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 31-5-2009









NOTA:





>[b]ENVIO DE MUESTRAS Y



ELIMINACION DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion,



si procede, en nuestras utilidades, de lo cual informaremos

[joderte]

le envie la muestra btdna.exe en cuanto al fichero inicia.exe no aparece en la carpeta es oculto seleciones ver archivos ocultos pero no puedo verlo aun asi pude acceder a sus propiedades tiene marcadas oculto y solo lectura, no obstante cuando exploro con el winrar puedo verlo pero no me permite eliminarlo; loa ficheros inicia.exe como btdna.exe se generan cuando ejecuto un juego online.



reinicie en modo a prueba de fallos y asi pude borrarlos pero como le digo se generan otra vez cuando le doy a ejecutable del juego. gracias att. han

[lucl]

Mas que eliminarlo lo que interesa es que lo envies, piensa que aunque sea de un juego puede estar infectado o incluso si fuera un falso positivo te informariamos intenta enviarlo si puedes ok? saludos

[joderte]

por lo que no hay manera de ver el fichero no puedo copiarlo ni mandartelo, pero como te dije puedo verlo explorando con el winrar lo q hice fue ubicarlo darle anticlik y selecionar ver fichero creoq lo q me mostro era su codigo asi q lo copie y lo puse en el bloc de notas eso fue loq te mande no c si te sirva.

con el poket killbox acedi a sus propiedades pero la casilla oculto estaba selecionada y deshabilitada x lo q no podia desselecionarla. no se me ocurre como enviartelo :( sorry

al elipen tambien me bota un mensaje de error "archivo modificado posiblemente por virus"

[joderte]

tienes alguna recomendacion sugerencia o idea?

[msc hotline sat]

Pues prueba de bajarte nuestras utilidades desde otro ordenador, o prueba de utilizar otro navegador, y este fichero que dices no encuentras, prueba con el ELIMOVER:





ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp



Y marcar de paso la casilla inferior izquierda de la ventana de dicha utilidad, para que al fichero original le sea añadida la extension .VIR y asi no pueda lanzarse a partir del siguiente reinicio.



luego, ya sabes:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 1-6-2009

[joderte]

NO RESULTO DESCARGE LAS UTILIDADES DE SATINFO LAS PUSE EN UNA USB LAS COMPRIMI Y LAS ENCRIPTE LUEGO PUSE MI PC EN MODOA PRUEBA DE FALLOS DESCOMPRIMI Y INTENTE USARLAS "ARCHIVO MODIFICADO POSIBLEMENTE X VIRUS" Y NO PUEDO USAR LA UTILIDAD PARA COPIAR ARCHIVOS OCULTOS. ALGUNA OTRA IDEA?

[msc hotline sat]

Al parecer es debido a alguna DLL de otros navegadores que puede ser que tengas instalados. Dinos si aparte del I.E, tienes instalado otro y en cualquier caso, qué navegador usas, gracias



saludos



ms, 2-6-2009

[joderte]

tengo el IE y el mozila firefox

[lucl]

Pues precisamente el mozilla es el causante de este fallo. Espera un poco que estan trabajando en ello y ensegida te diran algo saludos

[msc hotline sat]

Digamos que el mozilla interviene en el fallo, pero que nuestro ADMIN ya lo ha solucionado, y ademas hemos hecho utilidad correctora para los que resultaron afectados:



https://foros.zonavirus.com/viewtopic.php?f=5&t=28747

saludos



ms, 3-6-2009

[msc hotline sat]

Recibidos dos ficheros, el txt es un exe que no vemos tenga malicia en sí, puede ser un complemento de alguna aplicacion, por si acaso, añadele extension .VIR, para que no esté operativo, y si te falla algo, siempre puedes quitarsela.



Y el otro BTDNA.EXE no es el propio de BitTorrent del mismo nombre, sino que este desactiva el task Manager y pasamos a controlarlo con el ELISTARA de hoy 18.74:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 3-6-2009

[joderte]

gracias ya pude enviarles las muestras en un rar

[joderte]

gracias ya pude enviarles las muestras buenas utilidades las puse en un rar

[lucl]

Muy bien pues mañana te diran algo al respecto estate atento al foro saludos

[joderte]

AKI LES PEGO EL LOG:







(31-5-2009 15:49:23)

EliStartPage v18.72 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 29 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



(31-5-2009 15:49:42)

EliStartPage v18.72 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 29 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 150

Nº Total de Ficheros: 719

Nº de Ficheros Analizados: 325

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(31-5-2009 15:49:51)

EliStartPage v18.72 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 29 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 702

Nº Total de Ficheros: 6477

Nº de Ficheros Analizados: 2403

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(31-5-2009 15:51:44)

EliStartPage v18.72 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 29 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow



Nº Total de Directorios: 1185

Nº Total de Ficheros: 13838

Nº de Ficheros Analizados: 4390

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(3-6-2009 19:22:28)

EliScript v1.0 (c)2009 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

C:\Documents and Settings\Administrador\Escritorio\UTILIDADES\EliMover.exe -> La Limpieza se realizo Correctamente.



(3-6-2009 19:24:05)

EliScript v1.0 (c)2009 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

C:\Documents and Settings\Administrador\Escritorio\UTILIDADES\EliPen.exe -> La Limpieza se realizo Correctamente.



(3-6-2009 19:24:36)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad C:\ YA esta Protegida



Unidad D:\ Protegida



Unidad D:\ YA esta Protegida



Unidad D:\ YA esta Protegida



(3-6-2009 19:26:00)

EliMover v1.1 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\Gb-razgojWC\inicia.exe " -> Copiado a "C:\Muestras"

Fichero: "C:\Gb-razgojWC\inicia.exe " -> Copiado a "C:\Muestras"

Fichero: "C:\Gb-razgojWC\btdna.exe" -> Copiado a "C:\Muestras"

Fichero: "C:\Gb-razgojWC\btdna.exe" -> Copiado a "C:\Muestras"



(3-6-2009 19:31:31)

EliTriIP v5.86 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Junio del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "SCardSvr"

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



(3-6-2009 19:32:04)

EliTriIP v5.86 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Junio del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 1378

Nº Total de Ficheros: 21434

Nº de Ficheros Analizados: 4289

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(3-6-2009 19:38:20)

EliMover v1.1 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\Gb-razgojWC\btdna.exe" -> Copiado a "C:\Muestras"

Fichero: "C:\Gb-razgojWC\btdna.exe" -> Copiado a "C:\Muestras"



(3-6-2009 20:51:26)

EliStartPage v18.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminados Ficheros Temporales del IE



(3-6-2009 20:51:41)

EliStartPage v18.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Gb-razgojWC\BTDNA.EXE --> Acceso Denegado, TaskDisabler (Reiniciar para Completar la Limpieza)

C:\RECYCLER\S-1-5-21-842925246-764733703-839522115-500\DC15.EXE --> Eliminado, TaskDisabler

C:\RECYCLER\S-1-5-21-842925246-764733703-839522115-500\DC17.EXE --> Eliminado, TaskDisabler



Nº Total de Directorios: 1376

Nº Total de Ficheros: 19430

Nº de Ficheros Analizados: 4542

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 2



(3-6-2009 20:52:48)

EliStartPage v18.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 702

Nº Total de Ficheros: 6455

Nº de Ficheros Analizados: 2399

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(3-6-2009 20:53:45)

EliStartPage v18.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"



Nº Total de Directorios: 4

Nº Total de Ficheros: 34

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(3-6-2009 20:53:46)

EliStartPage v18.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"



Nº Total de Directorios: 4

Nº Total de Ficheros: 34

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(3-6-2009 20:53:46)

EliStartPage v18.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"



Nº Total de Directorios: 4

Nº Total de Ficheros: 34

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(3-6-2009 20:53:46)

EliStartPage v18.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"



Nº Total de Directorios: 4

Nº Total de Ficheros: 34

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(3-6-2009 20:55:49)

EliStartPage v18.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminados Ficheros Temporales del IE



(3-6-2009 20:56:03)

EliStartPage v18.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Gb-razgojWC\BTDNA.EXE --> Eliminado, TaskDisabler



Nº Total de Directorios: 1418

Nº Total de Ficheros: 19407

Nº de Ficheros Analizados: 4516

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(3-6-2009 20:57:27)

EliStartPage v18.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 1078

Nº Total de Ficheros: 14041

Nº de Ficheros Analizados: 2041

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(3-6-2009 20:57:59)

EliStartPage v18.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 702

Nº Total de Ficheros: 6455

Nº de Ficheros Analizados: 2399

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(3-6-2009 20:58:54)

EliStartPage v18.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"



Nº Total de Directorios: 4

Nº Total de Ficheros: 34

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[joderte]

una consulta deben kedar asi: inicia.vir.exe o deben quedar asi: inicia.exe.vir

?¿?¿?¿ es que me kedaron como en la primera vir.exe

gracias son lo maximo saludos :)

[joderte]

lo intente de los dos modos pero cuando ejecuto este archivo C:\Gb-razgojWC\Gb-razgoj se vuelven a generar x cierto limpie con el elistara el pc pero el administrador de tareas se volvio a deshabilitar.

[msc hotline sat]

Mira si vuelves a tener este fichero que ya eliminamos:



EliStartPage v18.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Gb-razgojWC\BTDNA.EXE --> Eliminado, TaskDisabler



y si es así, renombra este fichero C:\Gb-razgojWC\Gb-razgoj a .VIR para dejarlo aparcado, y envianoslo para analizar



(segun lo que dices de "cuando ejecuto este archivo C:\Gb-razgojWC\Gb-razgoj se vuelven a generar x cierto limpie con el elistara el pc pero el administrador de tareas se volvio a deshabilitar.")



Y vuelve a probar el ELISTARA que ya tienes y no vuelvas a ejecutar nada de esta carpeta C:\Gb-razgojWC\ , que no sé de donde sacaste pero ... no huele bien ! :?



Y se te indicó que lanzaras un windowsupdate para instalar los parches, sino lo haces lo que hacemos no sirve de nada !!!



Sobre el añadido de .VIR debe ser al final de la úñtima extension, es decir, debe quedar INICIA.EXE.VIR , pues al reves sigue siendo operativo, ya que la ultima extension es la que cuenta, lo de antes forma parte del nombre.



Seguramente no ves las extensiones, y por ello no lo pones al final, configuralo en OPCIONES DE CARPETA (aconsejo siempre ver fichros ocultos, no ocultar ficheros de sistema y ver las extensiones, pues sino solo ves a medias)



saludos



ms, 4-6-2009

[msc hotline sat]

Este Inicia.exe ayer lo enviabas con extension .txt y no era operativo, y aun con extension .EXE no le vimos rutinas viricas.



Si dices que su ejecucion crea dicho BTDNA, lo trataremos como un Dropper, y lo controlaremos por cadenas a partir de la proxima version 18.75 del ELISTARA de hoy.



De todas formas, renombra este INICIA.EXE y elimina a mano o con el actual ELISTARA el BTDNA.EXE que tienes y comprueba que ya no se regenera tras reiniciar, con lo que quedará solucionado



Me informan que el INICIA.EXE de hoy tiene el mismo icono que el BTDNA.EXE, lo cual no ocurría con el de ayer, ni renombrandolo a .EXE ...



Comparandolo resulta que no es igual que el de ayer ! y vemos que descarga dicho BTDNA...



Pasamos a implementar su control y eliminacion en la 18.75



saludos



ms, 4-6-2009

[joderte]

renombrarlos a vir no sirve de mucho ya q se genera otro de manera automatica y cuando le doy click a Gb-razgoj.exe se generan los del el btdna.exe y el inicia.exe los dos se generan al mismo tiempo les envio al muestra del Gb-razgoj.exe gracias

post data: estoy actualizando mi windows para luego pasarle el elistara:)

[lucl]

Superimportante que lo actualizes lo primero de todo, ya veras como cambia la cosa. Nos pegas el log de infosat cuando vuelvas a pasar elistara gracias saludos

[joderte]

amigos aki el log del elistara 18.75 el s.o. fue actualizado al sp3 espero su opinion:





(4-6-2009 23:19:30)

EliStartPage v18.75 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminados Ficheros Temporales del IE



(4-6-2009 23:20:58)

EliStartPage v18.75 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminados Ficheros Temporales del IE



(4-6-2009 23:21:08)

EliStartPage v18.75 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Gb-razgojWC\INICIA.EXE.VIR --> Eliminado, TaskDisabler(dldr)

C:\RECYCLER\S-1-5-21-842925246-764733703-839522115-500\DC18.EXE --> Eliminado, TaskDisabler(dldr)

C:\RECYCLER\S-1-5-21-842925246-764733703-839522115-500\DC21.EXE --> Eliminado, TaskDisabler

C:\RECYCLER\S-1-5-21-842925246-764733703-839522115-500\DC22.EXE --> Eliminado, TaskDisabler(dldr)

C:\RECYCLER\S-1-5-21-842925246-764733703-839522115-500\DC23.VIR --> Eliminado, TaskDisabler

C:\RECYCLER\S-1-5-21-842925246-764733703-839522115-500\DC24.EXE --> Eliminado, TaskDisabler

C:\RECYCLER\S-1-5-21-842925246-764733703-839522115-500\DC25.EXE --> Eliminado, TaskDisabler(dldr)



Nº Total de Directorios: 1788

Nº Total de Ficheros: 29304

Nº de Ficheros Analizados: 11564

Nº de Ficheros Infectados: 7

Nº de Ficheros Limpiados: 7



(4-6-2009 23:26:05)

EliStartPage v18.75 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 702

Nº Total de Ficheros: 6455

Nº de Ficheros Analizados: 2399

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[joderte]

el log del elistara arrojo que en la carpeta RECYCLER hay unos ficheros DC18.EXE los elimino pero explore con el winrar y hay otros en su lugar y uno de ellos tiene icono de exe ademas de la extencion exe lo elimino pero se genera otro con un nuevo numero

[msc hotline sat]

A ver, lo propio en la carpeta RECYCLER es que hayan ficheros borrados, si bien algunos malwares esconden alli sus elementos, inaccesibles desde windows (para esto sirve el ELIMOVER, además de las utilidades como el ELISTARA) pero mira, además, vaciar la papelera.



Pero si tienes este fichero, Gb-razgoj.exe , añadele extension .VIR, y despues de ello reinicia y lanza el ELISTARA a ver si tras eliminar el inicia.exe y el btdna.exe y lo que hubieren creado en el RECYCLER, ya no persiste tras el siguiente reinicio.



De todas formas si dices que lo has enviado, lo analizaremos y lo pasaremos a controlar y eliminar, si procede, de lo cual informaremos



saludos



ms, 5-6-2009

Ref PE/Tru-8.12-79.03

[msc hotline sat]

Recibido fichero en cuestion, lo detecta AVG como Agent AZXI, pero no se ha podido monitorizar al ser parte de una instalacion y necesitar sus complementos.



Por ello, si es lo que le reproduce los ficheros malwares INICIA y BTDNA, ya controlados por el actual ELISTARA, eliminelo aparte de que al parecer es de una web de juegos mal considerada segun lo que hemos visto en internet:


[quote]
No se engañen con esta Tonteria : http://www.gb-razgoj.net/

Dice llamarse el único Server en el Perú, el primero, el mejor o otras tantas tonterías cualquiera puede pensar que es así, lo cierto es que este gb es una mentira, sus administradores no son responsables, abren su Server cuando les da la gana y casi la mayoría de los días para cerrado su pagina Web. Tienen tantos errores de juego que no da gusto jugar, te para votando del juego.

Pero para publicitarse si son numero uno, la verdad este gb-razgoj es lo peor que he jugado me hizo perder mi tiempo, con este Server uno no llega a nada, no hay seguridad.



Han hablado tanto en los foros diciendo que son lo mejores. En realidad hacen quedar a la mal a la gente del Perú, bueno yo no soy peruano, pero este Server me llega. Es lo peor de lo peor.

Los únicos servidores peruanos que son los mejores son el century y el gb huanuco ha estos Servers mi respeto yo los [/quote]

por lo que aconsejamos prescindir de dicha carpeta y de su contenido.



Confirmenos que tras ello queda solucionado el problema, gracias



saludos



ms, 5-6-2009