Infectada con Spy.zbot.GWQ (SOLUCIONADO)

[msc hotline sat]

y los preanalisis de los otros dos ficheros recibidos:





File TESTABD.DLL.Muestra_EliStartPage_ received on 2009.06.02 11:23:23 (UTC)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED





Result: 24/40 (60%)





Antivirus Version Last Update Result

a-squared 4.0.0.101 2009.06.02 Trojan.Win32.Agent!IK

AhnLab-V3 5.0.0.2 2009.06.02 -

AntiVir 7.9.0.180 2009.06.02 TR/Agent.ciel.9

Antiy-AVL 2.0.3.1 2009.06.02 Trojan/Win32.Agent

Authentium 5.1.2.4 2009.06.02 -

Avast 4.8.1335.0 2009.06.01 Win32:Trojan-gen {Other}

AVG 8.5.0.339 2009.06.02 Agent2.ITW

BitDefender 7.2 2009.06.02 Gen:Trojan.Heur.1058A78C8C

CAT-QuickHeal 10.00 2009.06.02 Trojan.Agent.ciel

ClamAV 0.94.1 2009.06.02 -

Comodo 1232 2009.06.02 -

DrWeb 5.0.0.12182 2009.06.02 Trojan.PWS.Wow.1358

eSafe 7.0.17.0 2009.06.01 -

eTrust-Vet 31.6.6535 2009.06.02 Win32/Wowpa.LD

F-Prot 4.4.4.56 2009.06.02 -

F-Secure 8.0.14470.0 2009.06.02 Trojan.Win32.Agent.ciel

Fortinet 3.117.0.0 2009.06.02 PossibleThreat

GData 19 2009.06.02 Gen:Trojan.Heur.1058A78C8C

Ikarus T3.1.1.57.0 2009.06.02 -

K7AntiVirus 7.10.749 2009.05.29 -

Kaspersky 7.0.0.125 2009.06.02 Trojan.Win32.Agent.ciel

McAfee 5633 2009.06.01 PWS-WoW

McAfee+Artemis 5633 2009.06.01 PWS-WoW

McAfee-GW-Edition 6.7.6 2009.05.29 -

Microsoft 1.4701 2009.06.02 PWS:Win32/Wowsteal.AO!dll

NOD32 4122 2009.06.02 -

Norman 6.01.05 2009.06.01 -

nProtect 2009.1.8.0 2009.06.02 -

Panda 10.0.0.14 2009.06.01 Trj/Agent.MFV

PCTools 4.4.2.0 2009.06.01 -

Prevx 3.0 2009.06.02 High Risk Cloaked Malware

Rising 21.32.12.00 2009.06.02 Trojan.Win32.Nodef.jpi

Sophos 4.42.0 2009.06.02 Mal/Generic-A

Sunbelt 3.2.1858.2 2009.06.02 Trojan.Win32.Agent.ciel

Symantec 1.4.4.12 2009.06.02 Trojan Horse

TheHacker 6.3.4.3.335 2009.06.01 -

TrendMicro 8.950.0.1092 2009.06.02 -

VBA32 3.12.10.6 2009.06.02 Trojan.Win32.Agent.ciel

ViRobot 2009.6.2.1765 2009.06.02 Trojan.Win32.Agent.28672.FB

VirusBuster 4.6.5.0 2009.06.01 -

Additional information

File size: 28672 bytes

MD5...: 008a04aa8ec6101cfdc7ab59d99cf5c4

SHA1..: 8ce20a7f364be5b56e2b6747506ba9d0045df6d8





___________









File TESTABD.EXE.Muestra_EliStartPage_ received on 2009.06.02 11:27:03 (UTC)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED





Result: 29/40 (72.5%)





Antivirus Version Last Update Result

a-squared 4.0.0.101 2009.06.02 Trojan-GameThief.Win32.WOW!IK

AhnLab-V3 5.0.0.2 2009.06.02 Win-Trojan/Agent2.61440.J

AntiVir 7.9.0.180 2009.06.02 TR/Agent2.kbv.2

Antiy-AVL 2.0.3.1 2009.06.02 Trojan/Win32.WOW

Authentium 5.1.2.4 2009.06.02 -

Avast 4.8.1335.0 2009.06.01 Win32:Trojan-gen {Other}

AVG 8.5.0.339 2009.06.02 PSW.OnlineGames_r.DH

BitDefender 7.2 2009.06.02 Gen:Trojan.Heur.30708F9494

CAT-QuickHeal 10.00 2009.06.02 Trojan.Agent2.kbv

ClamAV 0.94.1 2009.06.02 -

Comodo 1232 2009.06.02 -

DrWeb 5.0.0.12182 2009.06.02 Trojan.PWS.Wow.1358

eSafe 7.0.17.0 2009.06.01 Win32.NewMalware.Al

eTrust-Vet 31.6.6535 2009.06.02 Win32/Wowpa.LD

F-Prot 4.4.4.56 2009.06.02 -

F-Secure 8.0.14470.0 2009.06.02 Trojan.Win32.Agent2.kbv

Fortinet 3.117.0.0 2009.06.02 W32/Agent2.KBV!tr

GData 19 2009.06.02 Gen:Trojan.Heur.30708F9494

Ikarus T3.1.1.57.0 2009.06.02 -

K7AntiVirus 7.10.749 2009.05.29 -

Kaspersky 7.0.0.125 2009.06.02 Trojan.Win32.Agent2.kbv

McAfee 5633 2009.06.01 PWS-WoW

McAfee+Artemis 5633 2009.06.01 PWS-WoW

McAfee-GW-Edition 6.7.6 2009.05.29 Trojan.Agent2.kbv.2

Microsoft 1.4701 2009.06.02 TrojanDropper:Win32/Wowsteal.AO

NOD32 4122 2009.06.02 -

Norman 6.01.05 2009.06.01 -

nProtect 2009.1.8.0 2009.06.02 -

Panda 10.0.0.14 2009.06.01 Trj/Agent.MFV

PCTools 4.4.2.0 2009.06.01 -

Prevx 3.0 2009.06.02 High Risk Cloaked Malware

Rising 21.32.12.00 2009.06.02 Trojan.Win32.Nodef.jpi

Sophos 4.42.0 2009.06.02 Mal/Generic-A

Sunbelt 3.2.1858.2 2009.06.02 TrojanDropper-Win32/Wowsteal.AO

Symantec 1.4.4.12 2009.06.02 Infostealer.Gampass

TheHacker 6.3.4.3.335 2009.06.01 -

TrendMicro 8.950.0.1092 2009.06.02 TROJ_WOWSTEAL.BU

VBA32 3.12.10.6 2009.06.02 Trojan.Win32.Agent2.kbv

ViRobot 2009.6.2.1765 2009.06.02 Trojan.Win32.Agent.61440.CC

VirusBuster 4.6.5.0 2009.06.01 Trojan.Agent2.CAX

Additional information

File size: 61440 bytes

MD5...: 1fb6459e5f6fff43417d4f15966b88c2

SHA1..: e9396d356c35d4b854d141bf794c89390eac153d





Está claro que puedes añadir .VIR a la extension de dichos ficheros, para aparcarlos, luego ya procederemos desinstalando claves y demas con las utilidades correspondientes.



saludos



ms, 2-5-2009

[jm_mai]

Hola muy buenas de nuevo!!!despues de esperar estos dias para ver si con la nueva version del Elistara se acababa mi "troyano" he ido a pasar el elisatar y el ellitrip y me sale lo de que ha sido modificado por un virus y eso...le he pasado vustra utilidad para arreglarlo(EliScrip)pero me dice que la limpieza no es necesaria, no se que puede pasar...uso IE 7, por si os sirve de ayuda...gracias!

[msc hotline sat]

Prueba de bajarlos de nuevo ahora, los acabo de subir de nuevo



y dime si ahora te va bien ...



saludos



ms, 4-6-2009

[jm_mai]

Si ya pude descargarmelos bien, aqui os dejo los log...Yo creo que ya esta todo limpio, si veis algo raro decirmelo pero no ha detectado nada...Muchisimas gracias por haberme dedicado tanto tiempo, sois de verdad los mejores y si pudiera hacer algo por ayudaros no dudeis en contar conmigo...Mil gracias, por mi podeis cerrar el tema.



(2-6-2009 21:36:53)

EliStartPage v18.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(2-6-2009 21:37:01)

EliStartPage v18.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 8995

Nº Total de Ficheros: 90038

Nº de Ficheros Analizados: 27221

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(2-6-2009 21:44:02)

EliStartPage v18.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 3920

Nº Total de Ficheros: 56669

Nº de Ficheros Analizados: 3535

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(5-6-2009 17:19:57)

EliStartPage v18.76 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(5-6-2009 17:20:13)

EliStartPage v18.76 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 8995

Nº Total de Ficheros: 90046

Nº de Ficheros Analizados: 27221

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(5-6-2009 17:52:31)

EliStartPage v18.76 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 3925

Nº Total de Ficheros: 56677

Nº de Ficheros Analizados: 3534

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(5-6-2009 18:00:39)

EliTriIP v5.87 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):



(5-6-2009 18:00:41)

EliTriIP v5.87 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 8995

Nº Total de Ficheros: 90048

Nº de Ficheros Analizados: 25083

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(5-6-2009 18:08:47)

EliTriIP v5.87 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 3929

Nº Total de Ficheros: 56940

Nº de Ficheros Analizados: 3026

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[lucl]

Muy bien pues si tu pc esta perfecto cerramos el tema dandolo por solucionado, si necesitas cuaquier otra cosa no dudes en venir a visitarnos :) saludos

[msc hotline sat]

Reabro el Tema porque nos extraña que no se detectaran las muestras que habiamos dejado en la carpeta c:\muestras, el infosat debería mostrar dicha detección y la lógica eliminación de



PP10.EXE.Muestra_EliStartPage_v18



TESTABD.DLL.Muestra_EliStartPage



TESTABD.EXE.Muestra_EliStartPage





Dinos si es que los eliminaste manualmente de C:\muestras, ya que sino es que algo ha fallado en el ELISTARA...



saludos



ms, 6-6-2009

saludos

[jm_mai]

Si las elemine manualmente ese carpeta, por eso no lo detecto...gracias!

[lucl]

Pues veras eliminarlas manualmente no es el modo correcto. La herramienta se actualizo para que al pasarla en tu pc las eliminara y te aseguraras de que quedabas limpia del todo. Otra vez tenlo en cuenta , y dejo abierto para que msc te de respuesta si lo considera necesario saludos

[msc hotline sat]

Aclarado, gracias por decirnoslo jm_mai , tal como indica lucl, las dejamos aparcadas en la carpeta c:\muestras para que, aun fuera de juego, podamos ver si las utilidades que se han hecho al respecto, las detectan y eliminan, por lo cual no deben borrarse manualmente y pedimos siempre que se postee el infosat resultante, pero si dices que las has eliminado, vamos a suponer que, como siempre, las utilidades las hubieran borrado, y ya cerramos el Tema de nuevo.



saludos



ms, 7-6-2009

[msc hotline sat]

Nota postcierre:



Recibimos hoy nuevas muestras referenciadas a este Tema, que pasamos a controlar con el ELISTARA de hoy 19.04



CSRCS.EXE.Muestra EliStartPage v19.rar

SVCHOST.EXE.Muestra EliStartPage v19.rar



Entendemos que con ello los detectará y eliminará, pero si no fuera el caso, abra nuevo Tema y nos postea el informe resultante, ademas de sus comentarios.



saludos



ms, 16-7-2009

[msc hotline sat]

Y nos ha llegado otra muestra, aparentemente referenciada tambien a este Tema, con un SDRA64.EXE , pero que parece un fichero de Google Chrome renombrado, ya que de entrada, si le cortamos la cola añadida de Muestra..., aparece tener el icono del Chrome, y no tiene las caracteristiocas de los ZBOT conocidos, lo que no sabemos es qué hace un fichero del Chrome, renombrado a SDRA64 y ademas copiado en la carpeta de sistema ???



Si sabe algo de ello, usa el Chrome, o quiere comentarnos algo al respecto, abra Nuevo Tema sobre ello y nbos lo comenta, gracias



saludos



ms, 16-7-2009