Problema con un troyano (SOLUCIONADO)

[Xrapper]

[b]tengo el win32.buzus.uib no se como eliminarlo y lo peor es ke no me deja ya ke limita las paginas ke puedo visitar:([/b]

[msc hotline sat]

Pues prueba el ELISTARA:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

y si se tratara de una variante no controlada, envianos el fichero sonde tu antivirus lo detecta:







>[b]ENVIO DE MUESTRAS Y



ELIMINACION DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 14-9-2009

[Xrapper]

[b]Pues parese ke el virus fue eliminado, ahora solo deceo saber lo de ke las paginas no cargan, como youtube habbo o bitefight ke son las ke usaba mas amenudo no se si se trata de otro virus o algo esta mal grax de antemano[/b]

[msc hotline sat]

Le pedíamos que posteara el informe resultante del ELISTARA:



[b][i]"Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso" [/i][/b]



Hagalo para ver el resultado del proceso, lo que ha hecho y lo que ha detectado, y veremos lo que procede hacer.



saludos



ms, 15-9-2009

[Xrapper]

(14-9-2009 03:39:53)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad C:\ YA esta Protegida



Error Creando TEST2.SAT

Unidad A:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad D:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad D:\ No se Pudo Proteger



(14-9-2009 03:40:45)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado E:\Autorun.inf

OPEN=RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\APPLICATION.EXE

E:\Autorun.inf -> Renombrado a .OLD

Unidad E:\ Protegida



Unidad E:\ YA esta Protegida



(14-9-2009 03:42:16)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad E:\ YA esta Protegida



(14-9-2009 5:43:40 (GMT))

EliStartPage v19.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 10 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WINMEDIA.EXE --> Eliminado Buzus.UIB

Entrada Eliminada [HKLM\...\Run] "MSN"="C:\Windows\winmedia.exe"

Linea Eliminada del HOSTS --> 127.0.0.1 www.Merijn.org

Linea Eliminada del HOSTS --> 127.0.0.1 www.spywareinfo.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.spybot.info

Linea Eliminada del HOSTS --> 127.0.0.1 www.hijackthis.de

Linea Eliminada del HOSTS --> 127.0.0.1 www.majorgeeks.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.virustotal.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.avg-antivirus.net

Linea Eliminada del HOSTS --> 127.0.0.1 www.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.bleepingcomputer.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.free.grisoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.analysis.seclab.tuwien.ac.at

Linea Eliminada del HOSTS --> 127.0.0.1 www.free.avg.com

Linea Eliminada del HOSTS --> 127.0.0.1 guru0.grisoft.cz

Linea Eliminada del HOSTS --> 127.0.0.1 guru1.grisoft.cz

Linea Eliminada del HOSTS --> 127.0.0.1 guru2.grisoft.cz

Linea Eliminada del HOSTS --> 127.0.0.1 guru3.grisoft.cz

Linea Eliminada del HOSTS --> 127.0.0.1 guru4.grisoft.cz

Linea Eliminada del HOSTS --> 127.0.0.1 guru5.grisoft.cz

Linea Eliminada del HOSTS --> 127.0.0.1 www.virusspy.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.download.f-secure.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.housecall.trendmicro.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.avast.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.free.avg.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.onlinescan.avast.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.futurenow.bitdefender.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.bitdefender.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.f-prot.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.trendsecure.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.avira.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.eset.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.free.avg.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.free-av.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.2-spyware.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.antivir.es

Linea Eliminada del HOSTS --> 127.0.0.1 www.prevx.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.ikarus.net

Linea Eliminada del HOSTS --> 127.0.0.1 www.forums.majorgeeks.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.castlecops.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.virusspy.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.virusinfo.prevx.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.fortinet.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.safer-networking.org

Linea Eliminada del HOSTS --> 127.0.0.1 www.fortiguardcenter.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.firewallguide.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.auditmypc.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.spywaredb.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.pctools.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.antivirus.comodo.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.spywareterminator.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.eradicatespyware.net

Linea Eliminada del HOSTS --> 127.0.0.1 www.freespywareremoval.info

Linea Eliminada del HOSTS --> 127.0.0.1 www.clamav.net

Linea Eliminada del HOSTS --> 127.0.0.1 www.antivirus.about.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.pandasecurity.com

Linea Eliminada del HOSTS --> 127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 www.sandboxie.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.clamwin.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.cwsandbox.org

Linea Eliminada del HOSTS --> 127.0.0.1 www.networkworld.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.research.sunbelt-software.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.threatexpert.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.norman.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.offensivecomputing.net

Linea Eliminada del HOSTS --> 127.0.0.1 www.grisoft.com

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(14-9-2009 6:00:18 (GMT))

EliStartPage v19.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 10 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(14-9-2009 6:00:47 (GMT))

EliStartPage v19.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 10 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 100

Nº Total de Ficheros: 811

Nº de Ficheros Analizados: 381

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(14-9-2009 6:01:10 (GMT))

EliStartPage v19.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 10 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\WINDOWS"

C:\WINDOWS\system32\Tools\RESTART.EXE --> Eliminado, Restart



Nº Total de Directorios: 1268

Nº Total de Ficheros: 11987

Nº de Ficheros Analizados: 6818

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(14-9-2009 6:08:39 (GMT))

EliStartPage v19.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 10 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\WINDOWS"



Nº Total de Directorios: 1268

Nº Total de Ficheros: 11986

Nº de Ficheros Analizados: 6817

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(14-9-2009 6:12:11 (GMT))

EliStartPage v19.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 10 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\WINDOWS"



Nº Total de Directorios: 15

Nº Total de Ficheros: 386

Nº de Ficheros Analizados: 67

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(14-9-2009 6:12:19 (GMT))

EliStartPage v19.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 10 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\Documents and Settings\PC\Escritorio"



Nº Total de Directorios: 589

Nº Total de Ficheros: 10752

Nº de Ficheros Analizados: 16

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(14-9-2009 6:13:53 (GMT))

EliStartPage v19.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 10 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\MessengerPlus! 3\MSGPLUS.EXE --> Eliminado, MessengerPlus



Nº Total de Directorios: 6406

Nº Total de Ficheros: 61278

Nº de Ficheros Analizados: 11756

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(14-9-2009 6:24:05 (GMT))

EliStartPage v19.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 10 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(14-9-2009 6:24:22 (GMT))

EliStartPage v19.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 10 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 14

Nº Total de Ficheros: 102

Nº de Ficheros Analizados: 49

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(14-9-2009 6:24:33 (GMT))

EliStartPage v19.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 10 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\Documents and Settings\PC\Mis documentos"



Nº Total de Directorios: 1089

Nº Total de Ficheros: 18380

Nº de Ficheros Analizados: 913

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(14-9-2009 6:25:47 (GMT))

EliStartPage v19.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 10 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6386

Nº Total de Ficheros: 61062

Nº de Ficheros Analizados: 11693

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(14-9-2009 6:35:35 (GMT))

EliStartPage v19.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 10 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



(14-9-2009 21:55:53 (GMT))

EliStartPage v19.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 10 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminados Ficheros Temporales del IE



(14-9-2009 21:56:39 (GMT))

EliStartPage v19.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 10 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6401

Nº Total de Ficheros: 61171

Nº de Ficheros Analizados: 11710

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues dese cuenta de las redirecciones que tenía en el HOSTS:



Linea Eliminada del HOSTS --> 127.0.0.1 www.Merijn.org

Linea Eliminada del HOSTS --> 127.0.0.1 www.spywareinfo.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.spybot.info

Linea Eliminada del HOSTS --> 127.0.0.1 www.hijackthis.de

Linea Eliminada del HOSTS --> 127.0.0.1 www.majorgeeks.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.virustotal.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.avg-antivirus.net

Linea Eliminada del HOSTS --> 127.0.0.1 www.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.bleepingcomputer.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.free.grisoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.analysis.seclab.tuwien.ac.at

Linea Eliminada del HOSTS --> 127.0.0.1 www.free.avg.com

Linea Eliminada del HOSTS --> 127.0.0.1 guru0.grisoft.cz

Linea Eliminada del HOSTS --> 127.0.0.1 guru1.grisoft.cz

Linea Eliminada del HOSTS --> 127.0.0.1 guru2.grisoft.cz

Linea Eliminada del HOSTS --> 127.0.0.1 guru3.grisoft.cz

Linea Eliminada del HOSTS --> 127.0.0.1 guru4.grisoft.cz

Linea Eliminada del HOSTS --> 127.0.0.1 guru5.grisoft.cz

Linea Eliminada del HOSTS --> 127.0.0.1 www.virusspy.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.download.f-secure.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.housecall.trendmicro.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.avast.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.free.avg.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.onlinescan.avast.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.futurenow.bitdefender.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.bitdefender.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.f-prot.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.trendsecure.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.avira.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.eset.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.free.avg.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.free-av.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.2-spyware.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.antivir.es

Linea Eliminada del HOSTS --> 127.0.0.1 www.prevx.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.ikarus.net

Linea Eliminada del HOSTS --> 127.0.0.1 www.forums.majorgeeks.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.castlecops.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.virusspy.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.virusinfo.prevx.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.fortinet.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.safer-networking.org

Linea Eliminada del HOSTS --> 127.0.0.1 www.fortiguardcenter.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.firewallguide.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.auditmypc.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.spywaredb.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.pctools.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.antivirus.comodo.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.spywareterminator.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.eradicatespyware.net

Linea Eliminada del HOSTS --> 127.0.0.1 www.freespywareremoval.info

Linea Eliminada del HOSTS --> 127.0.0.1 www.clamav.net

Linea Eliminada del HOSTS --> 127.0.0.1 www.antivirus.about.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.pandasecurity.com

Linea Eliminada del HOSTS --> 127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 www.sandboxie.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.clamwin.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.cwsandbox.org

Linea Eliminada del HOSTS --> 127.0.0.1 www.networkworld.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.research.sunbelt-software.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.threatexpert.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.norman.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.offensivecomputing.net

Linea Eliminada del HOSTS --> 127.0.0.1 www.grisoft.com



A todas ellas las redirigia a la 127.0.0.1, esto es, al LOCAL HOST, por lo que no´salía de casa ...



y dado que se detecta que faltan un momnton de parches :



[b][i]

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)[/i][/b]



Lance un windowsupdate e instale los que encuentre a faltar



saludos



ms, 15-9-2009







NOTA: Y me indican que se ha recibido mail suyo en SATINFO sin muestras que analizar, recuerde:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



ms.

[msc hotline sat]

Y como que vemos que el ELIPEN detectó en un pendrive este AUTORUN.INF que lanzaba APLICATION.EXE



Detectado E:\Autorun.inf

OPEN=RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\APPLICATION.EXE





Mire de conseguir este fichero APPLICATION.EXE en envienos para analizar, ya que puede ser un malware desconocido que le esté impidiendo la navegación al youtube y demas.



Para ello, como que ahora está dificil de acceder, pruebe el ELIMOVER incicando



E:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\APPLICATION.EXE



colocando el pendrive en cuestion, claro y cuando lo detecte , será movido a C:\muestras desde donde nos lo podrá enviar facilmente:







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





saludos



ms, 15-9-2009









NOTA:



DESCARGA DE ELIMOVER



http://www.zonavirus.com/descargas/elimover.asp

[Xrapper]

[b]:D Mil gracias despues de indagar por su pagina y gracias a su ayuda el problema esta resuelto ya puedo acceder a la pagina ke yo desee mil gracias, estoy enormemente agradecido con ustedes por guiarme a salvar mi pc de una formateada[/b]

[msc hotline sat]

Bien, pues lo celebramos y damos el Tema por solucionado, pero si puede enviarnos la muestra que le decimos, pasaremos a controlar lo que seguro que es un malware que se propaga por pendrive, aunque con el ELIPEN ya esté protegido.



En cualquier caso damos el Tema por solucionado y procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 15-9-2009