mmmm seraaa virus???

[crmppson]

hola a todos, saben tengo un gran problema, mi pc aparecen anuncios publicitarios de ringston, no puedo iniciar secion de msn, mi correo no se actualiza y la pagina principal de internet que yo predetermino se bota a cada rato a aprte de lentaa, como la ven?

alguien podra ayudarme?

[msc hotline sat]

Pues empiece probando el ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y si no detectara nada ni pidiera muestras para analizar, seguir con el SPROCES

SPROCES.EXE (herramienta de investigación)
http://www.zonavirus.com/descargas/sproces.asp

Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT

lo analizaremos e informaremos al respecto.

saludos

ms, 8-9-2009

[crmppson]

este es el reporte de insat:



(4-9-2009 16:00:10) (GMT)

EliTriIP v6.03 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 4 de Septiembre del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "win"="c:\windows\msn.exe"

Eliminado Servicio, "SCardSvr"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



(4-9-2009 16:00:59) (GMT)

EliTriIP v6.03 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 4 de Septiembre del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 2072

Nº Total de Ficheros: 23258

Nº de Ficheros Analizados: 6404

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(4-9-2009 16:02:52) (GMT)

EliTriIP v6.03 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 4 de Septiembre del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 2072

Nº Total de Ficheros: 23258

Nº de Ficheros Analizados: 6404

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(4-9-2009 16:05:38 (GMT))

EliStartPage v19.20 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 4 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\E8MAIN0.DLL.Muestra EliStartPage v19.20

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\E8MAIN0.DLL --> Renombrado a .VIR

Entrada Eliminada [HKCU\...\Run] "cdoosoft"="C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\herss.exe"

Eliminada Class, "{BB4C402F-882A-4526-8C08-51278EA437C1}" -> C:\WINDOWS\system32\e8main0.dll

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(4-9-2009 16:09:32)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado C:\Autorun.inf

OPEN=CJ3K.EXE

C:\Autorun.inf -> Renombrado a .OLD

Unidad C:\ Protegida



Unidad C:\ YA esta Protegida



(4-9-2009 16:21:38 (GMT))

EliStartPage v19.20 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 4 de Septiembre del 2009)

------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\E8MAIN0.DLL.VIR --> Eliminado.

C:\WINDOWS\AHNRPTA.EXE --> Eliminado (Fichero Complementario).

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(8-9-2009 15:27:23 (GMT))

EliStartPage v19.22 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[crmppson]

resultados de sproces.



(8-9-2009 15:39:39 GMT)

SProces v3.9 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v7.0.5730.11) 0

Nombre Equipo: BA-A2B2B4A58D99

Nombre Usuario: Administrador



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\READER 9.0\READER\READER_SL.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\ARES\ARES.EXE

C:\ARCHIVOS DE PROGRAMA\FIREBIRD\FIREBIRD_1_5\BIN\FBGUARD.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\WINDOWS\SYSTEM32\HPZIPM12.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT\SEARCH ENHANCEMENT PACK\SEAPORT\SEAPORT.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\DOCUMENTS AND SETTINGS\ALL USERS\DATOS DE PROGRAMA\SUKOKU\SUKOKU117.EXE

C:\ARCHIVOS DE PROGRAMA\FIREBIRD\FIREBIRD_1_5\BIN\FBSERVER.EXE

C:\ARCHIVOS DE PROGRAMA\SUKOKU\SUKOKU.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\ARCHIVOS TEMPORALES DE INTERNET\CONTENT.IE5\7ZUFJM5J\SPROCES[1].EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.mx/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Shareware.Pro Toolbar - {d82b1ec9-0d76-4f88-9fe6-4e92d2a8ea93} - C:\Archivos de programa\Shareware.Pro\tbSha1.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll (file missing)

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Shareware.Pro Toolbar - {d82b1ec9-0d76-4f88-9fe6-4e92d2a8ea93} - C:\Archivos de programa\Shareware.Pro\tbSha1.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll (file missing)

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll (file missing)

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O11 - Options group: [TABS] Tabbed Browsing

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_15) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} (Java Plug-in 1.6.0_15) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_15) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL (file missing)

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL (file missing)

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll (file missing)

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Nod32 AV (EsetNod32Fix) - Unknown owner - C:\WINDOWS\Regedit.exe /s %WinDir%\Fix.reg (file missing)

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Archivos de programa\Firebird\Firebird_1_5\bin\fbguard.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SeaPort - Microsoft Corp. - C:\Archivos de programa\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

O23 - Service: Sukoku Service - Unknown owner - C:\Documents and Settings\All Users\Datos de programa\Sukoku\sukoku117.exe" "C:\Archivos de programa\Sukoku\sukoku.dll (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Archivos de programa\Firebird\Firebird_1_5\bin\fbserver.exe

O23 - Service: Servicio de Windows Live Protección infantil (fsssvc) - Unknown owner - C:\Archivos de programa\Windows Live\Family Safety\fsssvc.exe (file missing)

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SiS315 - Silicon Integrated Systems Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\sisgrp.sys

O23 - Service: SiS191/SiS190 Ethernet Device NDIS 5.1 Driver (SiSGbeXP) - Silicon Integrated Systems Corp. - C:\WINDOWS\SYSTEM32\DRIVERS\SiSGbeXP.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: Vinyl AC'97 Audio Controller (WDM) (VIAudio) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\drivers\vinyl97.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



23 Servicios.

8 de Carga Automatica.

14 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

y del log, vemos:

Parche MS08-067 (Servicio Servidor) NO Instalado.


No tiene parcheado el agujero del Conficker !!! lance un windowsupdate e instale los parches pendientes .

Y vea con el COMPROBADOR, que le aparecen las tres imagenes de la primera fila, sino informenos :


DESCARGA DEL COMPROBADOR.EXE
http://www.zonavirus.com/descargas/comprobador.asp


Aparte vemos estos residentes sospechosos:

C:\DOCUMENTS AND SETTINGS\ALL USERS\DATOS DE PROGRAMA\SUKOKU\SUKOKU117.EXE

C:\ARCHIVOS DE PROGRAMA\SUKOKU\SUKOKU.EXE


envienoslos para analizar:


¿Como enviar las muestras a zonavirus? - Para ello recordar:
viewtopic.php?f=2&t=45334

Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos




y esta es un servicio del sukoku de marras, parece que ya no hay el fichero, elimine tambien la clave:

O23 - Service: Sukoku Service - Unknown owner - C:\Documents and Settings\All Users\Datos de programa\Sukoku\sukoku117.exe" "C:\Archivos de programa\Sukoku\sukoku.dll (file missing)


y esta parece ser un resto de NOD32 ???, eliminela que ya no sirve:

O23 - Service: Nod32 AV (EsetNod32Fix) - Unknown owner - C:\WINDOWS\Regedit.exe /s %WinDir%\Fix.reg (file missing)


Y sin duda estos ficheros del SUKOKU... son los culpables, cuando nos los haya enviado los analizaremos e informaremos

saludos

ms, 8-9-2009




NOTA: Aparte en el infosat vemos que se le piden otras muestras, si no las ha enviado, hagalo tambien, claro !

C:\Muestras\E8MAIN0.DLL.Muestra EliStartPage v19.20
a "virus@satinfo.es". Gracias.

C:\CJ3K.EXE
y el C:\AUTORUN.INF.OLD

y como que por lo visto tiene o ha tenido un virus de pendrive :



Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:

ELIPEN.EXE
http://www.zonavirus.com/descargas/elipen.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

ms.

ms.

[crmppson]

disculpe mi ignorancia msc hotline sat.



como puedo hacer lo que me pide? lance un windosupdate e instalar parche ms08-067 (servicio servidor) no instalado.????

[lucl]

Ve a inicio--------todos los programas----------windows update y te lo hace automatico saludos.

[crmppson]

hola luc:



de nueva cuenta moelestandote, sabes realice lo que me indicaste me fuia a inicio/todos los programas y no encontre la opcion de windowsupdate, como le hago para instalar el parche? disculpa si te ocasiono molestias pero me es muy importamte reparar esta pc, te agaradezco tu comprension.

[crmppson]

sorry de nuevo yo jajja. lo siguiente para la eliminacion de la claves me indica lanzar HJT al iniciar modo seguro?

como lo hago?

[crmppson]

resultados de c:/ infosat



(8-9-2009 20:50:37)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Unidad C:\ YA esta Protegida



Detectado E:\Autorun.inf

OPEN=CJ3K.EXE

E:\Autorun.inf -> Renombrado a .OLD

Unidad E:\ Protegida



Error Creando TEST2.SAT

Unidad G:\ No se Pudo Proteger



Unidad C:\ YA esta Protegida



(8-9-2009 22:03:24 (GMT))

EliStartPage v19.22 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Win"="c:\windows\msn.exe"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



(8-9-2009 22:03:57 (GMT))

EliStartPage v19.22 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\F2.BAT --> Eliminado, PWS-OnLineGames.Olhrwef

C:\I0YVA6.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\PKKWNG.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\RECYCLER\S-1-5-21-1060284298-1604221776-682003330-500\Dc14.Pro\TBSHA1.DLL --> Eliminado, TBConduit(tb)

C:\RECYCLER\S-1-5-21-1060284298-1604221776-682003330-500\Dc14.Pro\TBSHAR.DLL --> Eliminado, TBConduit(tb)



Nº Total de Directorios: 2140

Nº Total de Ficheros: 23221

Nº de Ficheros Analizados: 6703

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 5





lo que queda por hacer es instalar los parches ms08-67 (servicio servidor) ya que no cuento el en menu inicio/todos los programas/windowsupsate (no cuento con esta opcion), tambien ya les envie los archivos de muestras c:/muestras/e8main0.dll.muestra EliStartpage v19 . rar y la muestra c:/autorun.inf.rar ( esta muestra me dice que contiene un virus) y c:/cj3k.exe.

[msc hotline sat]

Pues analizaremos las muestras en cuanto las recibamos e informaremos.



Y para instalar el tan importante MS08-067, abra el navegador, vaya arriba a Herramientas y alli encontrará un acceso a Windowsupdate ...



saludos



ms, 9-9-2009

[msc hotline sat]

Recibidas muestras, procedemos a su analisis, tras lo cual informaremos

Mientras, al creer que puede propagarse por pendrive:

Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:

ELIPEN.EXE
http://www.zonavirus.com/descargas/elipen.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 9-9-2009

[crmppson]

(8-9-2009 20:50:37)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Unidad C:\ YA esta Protegida



Detectado E:\Autorun.inf

OPEN=CJ3K.EXE

E:\Autorun.inf -> Renombrado a .OLD

Unidad E:\ Protegida



Error Creando TEST2.SAT

Unidad G:\ No se Pudo Proteger



Unidad C:\ YA esta Protegida



(8-9-2009 22:03:24 (GMT))

EliStartPage v19.22 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Win"="c:\windows\msn.exe"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



(8-9-2009 22:03:57 (GMT))

EliStartPage v19.22 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\F2.BAT --> Eliminado, PWS-OnLineGames.Olhrwef

C:\I0YVA6.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\PKKWNG.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\RECYCLER\S-1-5-21-1060284298-1604221776-682003330-500\Dc14.Pro\TBSHA1.DLL --> Eliminado, TBConduit(tb)

C:\RECYCLER\S-1-5-21-1060284298-1604221776-682003330-500\Dc14.Pro\TBSHAR.DLL --> Eliminado, TBConduit(tb)



Nº Total de Directorios: 2140

Nº Total de Ficheros: 23221

Nº de Ficheros Analizados: 6703

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 5



(8-9-2009 22:20:58)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Unidad C:\ YA esta Protegida



Unidad E:\ YA esta Protegida



Error Creando TEST2.SAT

Unidad G:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad G:\ No se Pudo Proteger



(10-9-2009 21:20:09)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Unidad E:\ YA esta Protegida



Error Creando TEST2.SAT

Unidad G:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad G:\ No se Pudo Proteger

[msc hotline sat]

Pues vemos que no ha probado las ultimas versiones del ELISTARA, (ya hay la 19.24) y para la 19.23 decíamos

especialmente para su caso:

ELISTARA

---v19.23-( 9 de Septiembre del 2009) (Muestras de (1)PWS-OnLineGames.Herss, (1)PWS-OnLineGames.Olhrwef, (2)NaviPromo, (7)Adware.Wyyo "SUKOKU.EXE y DLL", IM-Worm.Agent.PT "VSHOST32.EXE", Banker.YE "SERVICES.EXE", Banker "MSNGNSR.EXE" y ProofDefender2009 "PDINSTALL.EXE")

Tras descargar la última (siempre se ha de probar la última existente) posteenos el infosat.txt, que confiamos controle ya el sokoku de marras, pero nos sorprende ver que recientemente el ELISTARA ha vuelto a eliminar una clave que ya el ELITRIIP habia eliminado antes, lo cual quiere decir que algo la ha regenerado:

(8-9-2009 22:03:24 (GMT))
EliStartPage v19.22 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Septiembre del 2009)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "Win"="c:\windows\msn.exe"

y antes:

(4-9-2009 16:00:10) (GMT)
EliTriIP v6.03 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 4 de Septiembre del 2009)
---------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "win"="c:\windows\msn.exe"


Posiblemente este "c:\windows\msn.exe" no es el MSN.EXE del messenger, vamos a ver si lo tiene en dicha carpeta y nos lo envia para analizar



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 11-9-2009

[msc hotline sat]

Recibida una muestra de HERSS.EXE resulta ser una variante de ONLINEGAME que pasamos a controlar con la version de hoy del ELISTARA:


Scanned time : 2009/09/14 10:19:36 (CEST)
Scanner results: 81% Escaner (30/37) encontró infección
File Name : HERSS.EXE.Muestra EliStartPage v19.rar
File Size : 107837 byte
File Type : RAR archive data, v1d, os
MD5 : d15268507c7562e4b5d382e5141f6238
SHA1 : f4fc38036985a17682d1459d16fd6e57428a5a70


Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 4.5.0.8 20090912063108 2009-09-12 7.85 Worm.Win32.Taterf!IK
AhnLab V3 2009.09.14.00 2009.09.14 2009-09-14 3.24 Win-Trojan/Magania.116142
AntiVir 8.2.1.14 7.1.5.236 2009-09-11 0.32 TR/Crypt.ZPACK.Gen
Antiy 2.0.18 20090914.2788856 2009-09-14 0.12 Trojan/Win32.Magania.calm[GameThief]
Arcavir 2009 200909131729 2009-09-13 0.03 Trojan.Gamethief.Magania.Calm
Authentium 5.1.1 200909131558 2009-09-13 1.16 W32/Trojan3.BEV (Exact)
AVAST! 4.7.4 090913-0 2009-09-13 0.01 Win32:Kamso [Trj]
AVG 8.5.288 270.13.95/2368 2009-09-14 0.30 SHeur2.BCBB
BitDefender 7.81008.4181208 7.27689 2009-09-14 3.59 Trojan.PWS.Onlinegames.KCUS
CA (VET) 9.0.0.143 31.6.6732 2009-09-12 7.80 Win32/Frethog.FGX worm.
ClamAV 0.95.2 9802 2009-09-14 0.02 -
Comodo 3.11 2312 2009-09-14 0.84 TrojWare.Win32.Trojan.Agent.Gen
CP Secure 1.3.0.5 2009.09.12 2009-09-12 0.06 -
Dr.Web 4.44.0.9170 2009.09.14 2009-09-14 5.33 Trojan.PWS.Wsgame.12661
F-Prot 4.4.4.56 20090913 2009-09-13 1.15 W32/Trojan3.BEV (exact)
F-Secure 7.02.73807 2009.09.13.02 2009-09-13 0.09 Trojan-GameThief.Win32.Magania.calm [AVP]
Fortinet 2.81-3.120 10.828 2009-09-13 0.23 -
GData 19.7838/19.474 20090914 2009-09-14 5.64 Trojan-GameThief.Win32.Magania.calm [Engine:A]
ViRobot 20090912 2009.09.12 2009-09-12 0.42 Worm.Win32.Taterf.116142
Ikarus T3.1.01.72 2009.09.14.73588 2009-09-14 4.07 Worm.Win32.Taterf
JiangMin 11.0.800 2009.09.14 2009-09-14 4.94 Trojan/PSW.Magania.yii
Kaspersky 5.5.10 2009.09.14 2009-09-14 0.05 Trojan-GameThief.Win32.Magania.calm
KingSoft 2009.2.5.15 2009.9.14.14 2009-09-14 0.51 -
McAfee 5.3.00 5740 2009-09-13 3.29 Generic PWS.ak
Microsoft 1.5005 2009.09.13 2009-09-13 7.32 Worm:Win32/Taterf.B
Norman 6.01.09 6.01.00 2009-09-11 4.01 OnLineGames.KGCC
Panda 9.05.01 2009.09.13 2009-09-13 2.02 Generic Worm
Trend Micro 8.700-1004 6.440.01 2009-09-13 0.03 -
Quick Heal 10.00 2009.09.14 2009-09-14 1.16 Worm.Taterf.b
Rising 20.0 21.47.01.00 2009-09-14 1.04 Packer.Win32.Nodef.c
Sophos 2.90.1 4.45 2009-09-14 3.26 Mal/Generic-A
Sunbelt 5389 5389 2009-09-13 5.09 BehavesLike.Win32.Malware (v)
Symantec 1.3.0.24 20090913.004 2009-09-13 0.06 -
nProtect 20090913.01 5458319 2009-09-13 6.69 Trojan.PWS.Onlinegames.KCUS
The Hacker 6.3.4.4 v00402 2009-09-12 0.93 Trojan/Magania.calm
VBA32 3.12.10.10 20090913.1210 2009-09-13 1.94 Trojan-GameThief.Win32.Magania.calm
VirusBuster 4.5.11.10 10.112.36/1863686 2009-09-13 2.31 -

A partir de las 19 horas de esta tarde podrá descargarlo y probarlo:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus

saludos

ms, 14-9-2009

[crmppson]

resultado de infosat



(17-9-2009 18:20:46 (GMT))

EliStartPage v19.28 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\E8MAIN0.DLL.VIR --> Eliminado.

C:\WINDOWS\AHNRPTA.EXE --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Win"="c:\windows\msn.exe"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[msc hotline sat]

Pues ya ves que te faltan parches, especialmente este tan importante contra el Conficker:



[b][i]No detectado Parche MS08-067 de Microsoft instalado[/i][/b]



lanza un windowsupdate e instala los que encuentre a faltar!





Y no vemos el analisis por exploracion del ELISTARA. Una vez hecho lo indicado, vuelve a probarlo y explora el disco duro, que seguro encontrarás y eliminarás ficheros infectados con el ONLINE GAME.



Aparte, vacuna tu ordenador y unidades pendrives con el ELIPEN, ya que este ONLINE GAMES se propaga a traves de ellos:





vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 18-9-2009



saludos



ms, 18-9-2009