Duda sobre servises.exe

[vzlaricardo]

He notado que en mi administrador de tareas en los procesos tengo un "service.exe" y siguiendo como unos 4 o 5 "servises.exe"...

sera esto un virus?...



Nota: Si cree el post en el lugar errado disculpenme... gracias

[msc hotline sat]

Mas bien no lo escribe bien...



El service*.* de sistema es SERVICES.EXE, ni SERVICE ni SERVISES



El que no sea SERVICES.EXE y se ejecute desde otra carpeta que no sea la de sistema (C:\windows\system32\ para XP), envienoslo para analizar y controlar:





>[b]ENVIO DE MUESTRAS Y



ELIMINACION DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlos, los analizaremos e implementaremos su control y eliminacion,



si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 20-6-2009

[vzlaricardo]

He enviado la muestra... creo que es un virus desde que lo vi el internet me anda lento ...

[msc hotline sat]

Pues añade .VIR al fichero en cuestion, y reinicia, para que no esté en uso.



Y si quieres, mientras, sube dicho fichero al VirusTotal y saldrás de dudas:



www.virustotal.com/es



y nos posteas, con un copiar y pegar, el informe resultante, gracias



saludos



ms, 20-6-2009

[vzlaricardo]

Motor antivirus Versión Última actualización Resultado

a-squared 4.5.0.18 2009.06.20 -

AhnLab-V3 5.0.0.2 2009.06.19 -

AntiVir 7.9.0.193 2009.06.19 -

Antiy-AVL 2.0.3.1 2009.06.19 -

Authentium 5.1.2.4 2009.06.19 -

Avast 4.8.1335.0 2009.06.19 -

AVG 8.5.0.339 2009.06.19 -

BitDefender 7.2 2009.06.20 Trojan.Generic.CJ.BBO

CAT-QuickHeal 10.00 2009.06.19 (Suspicious) - DNAScan

ClamAV 0.94.1 2009.06.20 -

Comodo 1376 2009.06.20 -

DrWeb 5.0.0.12182 2009.06.20 -

eSafe 7.0.17.0 2009.06.18 -

eTrust-Vet 31.6.6570 2009.06.19 -

F-Prot 4.4.4.56 2009.06.19 -

F-Secure 8.0.14470.0 2009.06.19 -

Fortinet 3.117.0.0 2009.06.19 -

GData 19 2009.06.20 Trojan.Generic.CJ.BBO

Ikarus T3.1.1.59.0 2009.06.20 -

Jiangmin 11.0.706 2009.06.20 -

K7AntiVirus 7.10.768 2009.06.19 -

Kaspersky 7.0.0.125 2009.06.20 -

McAfee 5651 2009.06.19 -

McAfee+Artemis 5651 2009.06.19 Artemis!6AC7D54F9535

McAfee-GW-Edition 6.7.6 2009.06.19 -

Microsoft 1.4803 2009.06.20 Spammer:Win32/Tedroo.I

NOD32 4173 2009.06.20 -

Norman 6.01.09 2009.06.19 W32/Zbot.gen20

nProtect 2009.1.8.0 2009.06.20 -

Panda 10.0.0.16 2009.06.19 -

PCTools 4.4.2.0 2009.06.19 -

Prevx 3.0 2009.06.20 -

Rising 21.34.50.00 2009.06.20 -

Sophos 4.42.0 2009.06.20 Mal/WaledPak-A

Sunbelt 3.2.1858.2 2009.06.20 -

Symantec 1.4.4.12 2009.06.20 -

TheHacker 6.3.4.3.348 2009.06.19 -

TrendMicro 8.950.0.1094 2009.06.19 -

VBA32 3.12.10.7 2009.06.20 -

ViRobot 2009.6.19.1796 2009.06.19 -

VirusBuster 4.6.5.0 2009.06.19 -





efectivamente =/... que puedo hacer

[julibaga]

Después de analizar el archivo que enviaste te indicarán cómo proceder. Mantente atento al foro el lunes.

[vzlaricardo]

Ok!... y renombrandolo a .VIR este virus no podra funcionar ni robarme informacion? =/

[lucl]

Renombrandolo digamos que lo atontamos y no esta activo :wink: hasta que te demos la herramienta necesaria que termina con el del todo saludos

[msc hotline sat]

Por lo que indican detectar los pocos AV que lo hacen (Debe ser incipiente) podría ser un Waledac descargado por el Conficker ...



Como que no has posteado singun log, no vemos si tienes aplicados todos los parches, por si acaso lanza un windowsupdate e instala los pendientes



Y el informe del VirusTotal está cortado, y no vemos el MD5 de dicho fichero, tu lo verás, despues de lo que ya has posteado, pues con el ELIMD5 de pones una u otra cadena (da igual) del MD5 o del SHA1 y mira si hay mas ficheros iguales en el disco duro, para que en tal caso los saque de circulacion:



ELIMD5

http://www.zonavirus.com/descargas/elimd5.asp



Aparte, por si hubiera sido el Conficker y aun estuviera por ahí, prueba el COMPROBADOR y dinos si ves las tres imagenes de la primera fila:





DESCARGA COMPROBADOR.EXE

http://www.zonavirus.com/descargas/comprobador.asp



saludos



ms, 21-6-2009

[vzlaricardo]

Respondiendo:

1)Si tengo el windows actualizado



2)Con el ELIMD5 elimino solo 1 que fue el que renombre a .VIR



3) Si pude ver las 3 imagenes con el comprobador.





Ya con esto estaria libre de ese virus? :D

[msc hotline sat]

Estarán las claves y demás restos en el registro, lo cual se restaurará con la nueva versión de la utilidad que hagamos al respecto, de lo cual hoy, tras analizar la muestra en cuestión, informaremos, pero mientras puedes seguir trabajando que ya no tienes los ficheros relacionados.



Además, no tienes el Conficker, pero ello induce a pensar que pudiste haberlo ingresado por enchufarle un pendrive infectado... Prueba el ELIPEN y vacuna ordenadores y pendrives para evitar la propagación de virus de este tipo:





vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 22-6-2009

[vzlaricardo]

Recuerdo haber usado ese ELIPEN una vez. Lo volvi a pasar de todas maneras y...



(22-6-2009 03:11:50)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Unidad D:\ YA esta Protegida



ya estaba protegida y aun asi se me pego este virus o.o

[msc hotline sat]

Al menos puedes estar seguro que no entró por dicho camino... , quizás descargaste y probaste algun fichero nuevo o desconocido, quizás navegaste por alguna web infectada, quizas estás en red con otros ordenadores y te lo han pegado vía comparticiones administrativas, quizás quizás quizás... te suena ? :wink:



Hoy, cuando entremos a trabajar en SATINFO, dentro de unas 4 horas, se repartirá el correo de este fin de semana y tras despachar las urgencias y mails de clientes asociados a nuestros servicios tecnicos, se atenderá los de zonavirus, entre los que esperamos estará el tuyo, pero se reciben cada fin de semana cientos de mails, tiempo al tiempo, a lo largo de hoy se analizará e informará.



saludos



ms, 22-6-2009

[msc hotline sat]

Pues analizada la muestra de este SERVISES.EXE resulta ser una variante de waledac o spambot que acostumbra a descargar el Conficker por comparticiones administrativas, si bien puede haber llegado por cualquier otro camino



Implementamos su control y eliminacion en el ELISTARA de hoy 18.87, pruebalo no solo en el ordenador infectado sino ademas en otros que haya en red y pendrives


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 22-6-2009