Problema con virus molesto (SOLUCIONADO)

Stone_FREE_ · Mensaje por **Stone_FREE_** » 24 Ago 2009, 03:13

Saludos a todos :wink:

Tengo un pequeño problema desde hace unas semanas que no se por qué sucede. El problema es que cuando desactivo mi antivirus (KIS), luego de algunos minutos aparecen unos mensajes de error en mi PC y me sale el típico mensaje de windows de Enviar información o No enviar. Luego de esto mi sistema queda algo inestable y tengo que resetear, y al volver a iniciar windows veo que hay uno o 2 procesos nuevos que aparecen, con sus respectivas entradas en el autorun (winhost.exe y defmgr.exe). Cierro los procesos sospechosos y elimino las entradas y no vuelve a ocurrir este problema hasta que vuelvo a desactivar mi antivirus y se vuelve a infectar mi PC. Agregar que cada cierto tiempo, el firewall de mi antivirus me manda este mensaje "network attack Intrusion.WinMSSQL.worm.Helkern", tal vez esto tenga algo que ver :?

Casi podría asegurar que mi PC no está infectada con virus, así que lo único que se me ocurre es que este virus entre por la red al desactivar el firewall. Mi PC es windows XP con las actualizaciones al día.

Adjunto los archivos sospechosos.

Saludos

PD: ya no volveré a desactivar mi firewall :wink:

Mensaje por **msc hotline sat** » 24 Ago 2009, 08:42

Al desactivar el antivirus (que no sé el motivo por el que lo haces) quedas sin proteccion residente y los virus y gusanos aprovechan para atacar, y al parecer consiguen infectarte, ya que este fichero que indicas DEFMGR.EXE es un gusano:

http://www.prevx.com/filenames/1007890538781304294-X1/DEFMGR.EXE.html

y similar es lo relativo con el WINHOST.EXE :

http://www.bleepingcomputer.com/startups/winhost.exe-9946.html

Envianos estos dos ficheros para analizar y controlar con nuestras utilidades:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 24-8-2009

Stone_FREE_ · Mensaje por **Stone_FREE_** » 25 Ago 2009, 03:28

Ficheros enviados.

Algunas veces desactivo mi antivirus para probar o examinar archivos infectados y mientras los paso de mi PC a la máquina virtual desactivo mi antivirus para que no los elimine. Y también lo desactivo para instalar ciertos programas que hacen muchas modificaciones en el registro o que hacen muchas conexiones al exterior, ya que la defensa proactiva y firewall del KIS es bastante molesta en esos casos y me manda muchas advertencias (estos programas han sido previamente examinados en una máquina virtual para no correr riesgos)

Pero me tomo por sorpresa que estos gusanos se pudieran instalar en mi PC solo por estar conectada a la red, aun estando al día en sus parches :shock:

Saludos

Mensaje por **msc hotline sat** » 25 Ago 2009, 06:25

Hay muchos agujeros y vulnerabilidades en Windows, no todos se pueden eviatr con los parches, por esto los antivirus han de estar bien actualizados y residentes.

En cuanto recibamos las muestras procederemos en consecuencia

saludos

ms, 25-8-2009

Mensaje por **msc hotline sat** » 25 Ago 2009, 08:59

Efectivamente, el preanalisis de los dos ficheros enviados indica que se trata de malwares:

VirSCAN.org Scanned Report :

Scanned time : 2009/08/25 08:45:14 (CEST)

Scanner results: 35% Escaner (13/37) encontró infección

File Name : defmgr.exe

File Size : 104448 byte

File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit

MD5 : 79bf02b6a1b031cf7c5f3892c7db1484

SHA1 : 1c287930ab12a76941f8b88dc8bd6cdafb8266ab

Online report : http://virscan.org/report/1dcb656cf288270b4a7bb0cf0fbec20d.html

Scanner Engine Ver Sig Ver Sig Date Time Scan result

a-squared 4.5.0.8 20090824170206 2009-08-24 0.35 -

AhnLab V3 2009.08.25.00 2009.08.25 2009-08-25 1.43 -

AntiVir 8.2.1.3 7.1.5.156 2009-08-24 7.02 -

Antiy 2.0.18 20090824.2730530 2009-08-24 0.12 Worm/Win32.Kolab.dnl[NET]

Arcavir 2009 200908241822 2009-08-24 0.04 Win32.Poison.Anpe

Authentium 5.1.1 200908242130 2009-08-24 1.20 -

AVAST! 4.7.4 090824-0 2009-08-24 0.01 -

AVG 8.5.288 270.13.65/2324 2009-08-24 0.30 Worm/Generic.AHOV

BitDefender 7.81008.3913146 7.27331 2009-08-25 3.42 -

CA (VET) 9.0.0.143 31.6.6697 2009-08-25 7.08 -

ClamAV 0.95.2 9733 2009-08-25 0.02 -

Comodo 3.10 2088 2009-08-25 0.76 -

CP Secure 1.1.0.715 2009.08.23 2009-08-23 0.08 -

Dr.Web 4.44.0.9170 2009.08.25 2009-08-25 5.25 BackDoor.IRC.Bot.127

F-Prot 4.4.4.56 20090824 2009-08-24 1.22 -

F-Secure 7.02.73807 2009.08.24.10 2009-08-24 0.09 Net-Worm.Win32.Kolab.dpl [AVP]

Fortinet 2.81-3.120 10.754 2009-08-24 0.22 W32/Kolab.DPL!worm.im

GData 19.7365/19.450 20090825 2009-08-25 6.67 Net-Worm.Win32.Kolab.dpl [Engine:A]

ViRobot 20090824 2009.08.24 2009-08-24 0.47 -

Ikarus T3.1.01.68 2009.08.25.73349 2009-08-25 3.65 Trojan.Refroso

JiangMin 11.0.800 2009.08.23 2009-08-23 3.53 -

Kaspersky 5.5.10 2009.08.25 2009-08-25 0.05 Net-Worm.Win32.Kolab.dpl

KingSoft 2009.2.5.15 2009.8.25.7 2009-08-25 0.52 -

McAfee 5.3.00 5719 2009-08-24 3.17 -

Microsoft 1.4903 2009.08.24 2009-08-24 6.92 VirTool:Win32/CeeInject.gen!AJ

Norman 6.01.09 6.01.00 2009-08-24 4.00 -

Panda 9.05.01 2009.08.24 2009-08-24 1.91 -

Trend Micro 8.700-1004 6.392.02 2009-08-24 0.16 -

Quick Heal 10.00 2009.08.24 2009-08-24 1.13 -

Rising 20.0 21.44.10.00 2009-08-25 0.83 -

Sophos 2.89.1 4.44 2009-08-25 3.34 Troj/Agent-KXW

Sunbelt 5353 5353 2009-08-24 1.55 -

Symantec 1.3.0.24 20090824.002 2009-08-24 0.05 W32.Spybot.Worm

nProtect 20090823.01 5123017 2009-08-23 6.32 -

The Hacker 6.3.4.3 v00387 2009-08-24 0.79 -

VBA32 3.12.10.10 20090824.1625 2009-08-24 1.75 Trojan.Win32.Refroso.gdt

VirusBuster 4.5.11.10 10.112.15/1802658 2009-08-24 2.30 -

y el otro :

VirSCAN.org Scanned Report :

Scanned time : 2009/08/25 08:48:28 (CEST)

Scanner results: 49% Escaner (18/37) encontró infección

File Name : winhost.exe

File Size : 103936 byte

File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit

MD5 : 7904937c07c031e81023dbd81ac93b64

SHA1 : 5d9ba10447abe881c2c0746bed7678735062bb0a

Online report : http://virscan.org/report/2a5de856629bdc32518a862a7797296b.html

Scanner Engine Ver Sig Ver Sig Date Time Scan result

a-squared 4.5.0.8 20090824170206 2009-08-24 0.71 -

AhnLab V3 2009.08.25.00 2009.08.25 2009-08-25 5.11 Win-Trojan/Agent.103936.DG

AntiVir 8.2.1.3 7.1.5.156 2009-08-24 7.03 -

Antiy 2.0.18 20090824.2730530 2009-08-24 0.12 Worm/Win32.Kolab.dnl[NET]

Arcavir 2009 200908241822 2009-08-24 0.04 Win32.Poison.Anpe

Authentium 5.1.1 200908242130 2009-08-24 1.27 -

AVAST! 4.7.4 090824-0 2009-08-24 0.01 Win32:Trojan-gen {Other}

AVG 8.5.288 270.13.65/2324 2009-08-24 0.33 Worm/Generic.AHOV

BitDefender 7.81008.3913146 7.27331 2009-08-25 3.47 Backdoor.IRCBot.ACUD

CA (VET) 9.0.0.143 31.6.6697 2009-08-25 5.44 -

ClamAV 0.95.2 9733 2009-08-25 0.02 -

Comodo 3.10 2088 2009-08-25 0.83 UnclassifiedMalware

CP Secure 1.1.0.715 2009.08.23 2009-08-23 0.08 -

Dr.Web 4.44.0.9170 2009.08.25 2009-08-25 6.29 BackDoor.IRC.Bot.127

F-Prot 4.4.4.56 20090824 2009-08-24 1.69 -

F-Secure 7.02.73807 2009.08.24.10 2009-08-24 0.09 Net-Worm.Win32.Kolab.dpo [AVP]

Fortinet 2.81-3.120 10.754 2009-08-24 0.20 PossibleThreat

GData 19.7365/19.450 20090825 2009-08-25 7.70 Net-Worm.Win32.Kolab.dpo [Engine:A]

ViRobot 20090824 2009.08.24 2009-08-24 1.05 -

Ikarus T3.1.01.68 2009.08.25.73349 2009-08-25 3.68 Trojan.Refroso

JiangMin 11.0.800 2009.08.23 2009-08-23 12.46 -

Kaspersky 5.5.10 2009.08.25 2009-08-25 0.05 Net-Worm.Win32.Kolab.dpo

KingSoft 2009.2.5.15 2009.8.25.7 2009-08-25 0.69 -

McAfee 5.3.00 5719 2009-08-24 3.27 -

Microsoft 1.4903 2009.08.24 2009-08-24 7.05 VirTool:Win32/CeeInject.gen!AJ

Norman 6.01.09 6.01.00 2009-08-24 4.01 -

Panda 9.05.01 2009.08.24 2009-08-24 2.22 -

Trend Micro 8.700-1004 6.392.02 2009-08-24 0.04 -

Quick Heal 10.00 2009.08.24 2009-08-24 1.20 -

Rising 20.0 21.44.10.00 2009-08-25 0.85 -

Sophos 2.89.1 4.44 2009-08-25 3.48 Troj/Agent-KXY

Sunbelt 5353 5353 2009-08-24 3.51 -

Symantec 1.3.0.24 20090824.002 2009-08-24 0.05 W32.Spybot.Worm

nProtect 20090823.01 5123017 2009-08-23 10.58 Backdoor.IRCBot.ACUD

The Hacker 6.3.4.3 v00387 2009-08-24 1.27 -

VBA32 3.12.10.10 20090824.1625 2009-08-24 1.78 Trojan.Win32.Refroso.gdt

VirusBuster 4.5.11.10 10.112.15/1802658 2009-08-24 2.33 -

Entran en cola de monitorizacion y cuando se procesen implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos

saludos

ms, 25-8-2009

Mensaje por **msc hotline sat** » 25 Ago 2009, 10:20

Terminado el proceso, pasamos a controlar este nuevo malware en el ELITRIIP de hoy, 5.99, que estará disponible en esta web para pruebas de evaluacion a partir de esta tarde.

[quote]

~~[b]~~ ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

[/quote]

saludos

ms, 25-8-2009

Stone_FREE_ · Mensaje por **Stone_FREE_** » 26 Ago 2009, 08:58

~~[b]~~Resultado del EliTrip[/b]

(26-8-2009 6:36:20) (GMT)

EliTriIP v5.99 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 25 de Agosto del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\LOGFILE32.TXT --> Eliminado

Eliminado Servicio, "NPF"

Eliminado Servicio, "SCardSvr"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

(26-8-2009 6:36:44) (GMT)

EliTriIP v5.99 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 25 de Agosto del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\0DWVW086\f[1].exe --> Eliminado, Net-Worm.Kolab.DPL

C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\BJRVIG9U\xx8[1].exe --> Eliminado, Net-Worm.Kolab.DPO

C:\WINDOWS\system32\43.scr --> Eliminado, Net-Worm.Kolab.DPO

C:\WINDOWS\system32\55.scr --> Eliminado, Net-Worm.Kolab.DPL

C:\WINDOWS\system32\77.scr --> Eliminado, Net-Worm.Kolab.DPO

Nº Total de Directorios: 4978

Nº Total de Ficheros: 51194

Nº de Ficheros Analizados: 13346

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 5

Gracias por tu ayuda y aclaraciones

Saludos

Mensaje por **msc hotline sat** » 26 Ago 2009, 09:31

Supongo que el WInhost.exe y el DEFMGR.EXE los elimnaste a mano, ya que no los detectó el ELITRIIP.

Conformanoslo y dinos si tras reiniciar ya no hay ninguna anomalia y podenmos dar por solucionado el Tema, gracias

saludos

ms, 26-8-2009

Stone_FREE_ · Mensaje por **Stone_FREE_** » 27 Ago 2009, 14:40

Así es, el Winhost.exe y el DEFMGR.EXE ya los había eliminado manualmente. También instalé el Parche MS08-067 que el Elitriip me decía que no estaba instalado. Hoy tuve mi PC toda la noche prendida con el antivirus desactivado y no se volvió a meter el virus. Parece que ya se solucionó el problema. Gracias nuevamente :wink:

Saludos

Stone_FREE_

Mensaje por **msc hotline sat** » 27 Ago 2009, 14:42

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 27-8-2009

Problema con virus molesto (SOLUCIONADO)

Problema con virus molesto (SOLUCIONADO)

Re: Problema con virus molesto

Re: Problema con virus molesto

Re: Problema con virus molesto

Re: Problema con virus molesto

Re: Problema con virus molesto

Re: Problema con virus molesto

Re: Problema con virus molesto

Re: Problema con virus molesto

Re: Problema con virus molesto