malware en cuarentena

[dym22]

hola a todos!

vayamos por partes,tenia el nod32 y siempre me decia que no tenia virus(ni espias ni malware) pero se que los tenia porque tenia el administrador de tareas bloqueado por un administrador, solo estoy yo(seria un malware).

Entonces pase el panda online y me encontro cerca de 60 la mayoria espias y 5 malware que estan en cuarentena.

Son estos akaro.exe,dido.exe,isass.exe,Lsass.exe(sospechoso de truprevent)no se que significa y akaro.exe esta vez en el D.

Que debo hacer con estos exe que estan en cuarentena. Pase en alistarA y me elimino esto.



(1-10-2009 20:25:47 (GMT))

EliStartPage v19.36 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

C:\WINDOWS\A.TXT --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminado , Installed Components "{08B0E5C0-4FCB-11CF-AAA5-00401C608500}"

Eliminado , Installed Components "{CC2A9BA0-3BDD-11D0-821E-444553540000}"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(1-10-2009 20:52:48 (GMT))

EliStartPage v19.36 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\Audio\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 4335

Nº Total de Ficheros: 70943

Nº de Ficheros Analizados: 22023

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1





(1-10-2009 20:58:29 (GMT))

EliStartPage v19.36 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"

D:\incoming\VOOBYS.EXE --> Eliminado, LowZones(dr)



Nº Total de Directorios: 598

Nº Total de Ficheros: 7255

Nº de Ficheros Analizados: 664

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1





Los malware antes mencionados no los [b][i]ha[/i][/b] encontrado, no se si porque estan en cuarentena. que tengo que hacer?



gracias

[msc hotline sat]

Si ya están en cuarentena se supone que ya no presentan anomalias, o aun persisten ???



Y lo que dice de Panda, la mayoría posiblemente eran cookies de seguimiento, que aunque fueran de troyanos , no le afectaban, por lo que tanto daba eliminarlas como no, pero estos otros que dice tener en cuarentena, envienoslos para analizar y si vemos que son maliciosos, implementaremos su control y eliminacion en posterioes versiones.



Prescindiendo de las Cookies, posiblemente el ELISTARA, si lo hubiera pasado antes que el Panda, ya hubiera visto sospechosos estos ficheros, como por ejemplo el isass,exe o el lsass,exe que debía tener fuera de la carpeta de sistema, que es donde está el lsass.exe bueno, y los hubiera movido a C:\muestras para que nos los enviara, que es lo que harenmos ahora, siempre y cuando no los hayan encriptado a su manera...



Pues envienoslos y los analizaremos:







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 2-10-2009

[dym22]

el administrador ya funciona correctamente. supongo que porque estan en cuarentena. buscare los malware y os lo enviare.

[dym22]

hola



el sistema no los encuentra solo [b][i]ha[/i][/b] encontrado 2 akaro.exe en el c

pero habia 1 en c y otro en d.

como los puedo encontrar





gracias

[msc hotline sat]

Prueba con el ELIMOVER, indicandole unidad, ruta y nombre :



DESCARGA DE ELIMOVER



http://www.zonavirus.com/descargas/elimover.asp





Y lo que decia de que el taskmanager ya funciona correctamente, no es porque los ficheros no estén, ya que son las claves de registro modificadas lo que lo inhabilitan, omo la edicion de registro por ejemplo, y con el ELISTARA restablecemos dichas claves modificadas.



Pues a ver si nos envias dichos ficheros, uno o dos, los que encuentres, y tras analizarlos , informaremos



saludos



ms, 2-10-2009

[msc hotline sat]

Vaya, pues los dos ficheros que nos envias son .PF, (prefecht) y con ellos nada que hacer (son solo los lanzadores, no los EXE) !



Pues parece que ya no los debes tener, pero mirando con el buscador del foro he visto este Tema que tambien trataba de ficheros con el mismo nombre:



https://foros.zonavirus.com/viewtopic.php?f=5&t=29170&start=15



y que era virus que se propagaba por pendrive, asi que descarga el ELIPEN y pruebalo:





Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





y tras ello dinos si persiste alguna anomalía o podemos dar por solucionado el Tema, gracias



saludos



ms, 2-10-2009

[dym22]

(3-10-2009 09:07:22)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad D:\ Protegida



Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad F:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad G:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad H:\ No se Pudo Proteger



Unidad J:\ YA esta Protegida



Unidad D:\ YA esta Protegida





bueno esto es lo que dice.

El elimover no me ha encontrado ni akaro,dido,isass y lsass

No se si restaurarlos porque los tiene el panda en cuarentena lo mismo asi si que los encuentra el elistara.



un saludo

[msc hotline sat]

Mejor dejalos en cuarentena y envianoslos para analizar, mas vale no restaurarlo, que jugando con fuego uno se acaba quemando ...



Y si ya no tienes anomalías, solo cabe eliminar la carpeta de cuarentena, pero despues e habernos enviado las muestras.



saludos



ms, 3-10-2009

[dym22]

Informe de incidencias de Panda Antivirus Pro 2010

Filtro Seleccionado: Virus detectado, Archivo sospechoso, Archivo peligroso, Ejecución de script, Conexión telefónica, Intento de conexión, Ataque de escaneo de puertos, Ataque de denegación de servicio, Suplantación de identidad, Bloqueo de IP atacante, Activación, Desactivación, Actualización, Comienzo de análisis, Fin de análisis, Fecha: Todas

INCIDENCIA NOTIFICADA POR FECHA - HORA RESULTADO INFORMACIÓN ADICIONAL



Virus detectado: W32/Autorun.JIS.worm Protección antivirus 03/10/2009 18:48:40 Desinfectado Ubicación: J:\AUTORUN.INF

Spyware detectado: Cookie/Atlas DMT Protección antivirus 03/10/2009 18:37:00 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@ATDMT[1].TXT

Spyware detectado: Cookie/Atlas DMT Protección antivirus 03/10/2009 18:35:14 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@ATDMT[2].TXT

Spyware detectado: Cookie/Atlas DMT Protección antivirus 03/10/2009 18:35:02 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@ATDMT[2].TXT

Spyware detectado: Cookie/Atlas DMT Protección antivirus 03/10/2009 18:35:01 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@ATDMT[1].TXT

Actualización Sistema de actualizaciones 03/10/2009 13:52:42 Correcta Identificadores de alteración de archivos

Desactivación Protección antivirus 03/10/2009 10:50:16 Correcta

Desactivación Protección antivirus 03/10/2009 0:54:49 Correcta

Operación sospechosa: Protección contra amenazas... 03/10/2009 0:54:34 Bloqueada Programa: C:\DOCUMENTS AND SETTINGS\DANI\ESCRITORIO\ELISTARA.EXE

Spyware detectado: Cookie/Atlas DMT Protección antivirus 03/10/2009 0:54:33 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@ATDMT[2].TXT

Spyware detectado: Cookie/Atlas DMT Protección antivirus 03/10/2009 0:54:32 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@ATDMT[1].TXT

Operación sospechosa: Protección contra amenazas... 03/10/2009 0:54:30 Bloqueada Programa: C:\DOCUMENTS AND SETTINGS\DANI\ESCRITORIO\ELISTARA.EXE

Fin de análisis Análisis antivirus inmediato 02/10/2009 20:06:14 Análisis:

Comienzo de análisis Análisis antivirus inmediato 02/10/2009 20:04:27 Análisis:

Actualización Sistema de actualizaciones 02/10/2009 20:04:23 Correcta Archivo: Identificadores de amenazas

Actualización Sistema de actualizaciones 02/10/2009 18:39:42 Correcta Tipo: Protección de identidad

Actualización Sistema de actualizaciones 02/10/2009 15:14:42 Correcta Tipo: Protección de identidad



Comienzo de análisis Análisis antivirus inmediato 01/10/2009 23:25:35 Análisis: Analizando todo el sistema

Desactivación Protección antivirus 01/10/2009 22:52:17 Correcta

Fin de análisis Análisis antivirus inmediato 01/10/2009 22:35:22 Análisis:

Comienzo de análisis Análisis antivirus inmediato 01/10/2009 22:33:27 Análisis:

Actualización Sistema de actualizaciones 01/10/2009 22:33:25 Correcta Archivo: Identificadores de amenazas



Actualización Sistema de actualizaciones 01/10/2009 20:26:37 Correcta Tipo: Protección de identidad



Actualización Sistema de actualizaciones 01/10/2009 13:40:35 Correcta Identificadores de alteración de archivos

Fin de análisis Análisis antivirus inmediato 01/10/2009 12:36:35 Análisis: Analizando todo el sistema

Virus detectado: W32/Autorun.JIS Análisis antivirus inmediato 01/10/2009 12:24:03 Desinfectado Ubicación: D:\akaro.exe

Comienzo de análisis Análisis antivirus inmediato 01/10/2009 11:35:56 Análisis: Analizando todo el sistema

Fin de análisis Análisis antivirus inmediato 01/10/2009 10:40:30 Análisis:

Virus detectado: W32/Autorun.JIS Análisis antivirus inmediato 01/10/2009 10:40:19 Desinfectado Ubicación: C:\windows\lsass.exe

Virus detectado: W32/Autorun.JIS Análisis antivirus inmediato 01/10/2009 10:40:17 Desinfectado Ubicación: C:\windows\debug\dido.exe

Virus detectado: W32/Autorun.JIS Análisis antivirus inmediato 01/10/2009 10:40:17 Desinfectado Ubicación: C:\windows\akaro.exe

Virus detectado: W32/Autorun.JIS Protección antivirus 01/10/2009 10:40:17 Desinfectado Ubicación: C:\WINDOWS\AKARO.EXE

Actualización Sistema de actualizaciones 01/10/2009 10:36:02 Correcta Tipo: Protección de identidad

Actualización Sistema de actualizaciones 01/10/2009 10:35:58 Correcta Identificadores de alteración de archivos

Comienzo de análisis Análisis antivirus inmediato 01/10/2009 10:35:57 Análisis:

Actualización Sistema de actualizaciones 01/10/2009 10:35:53 Correcta Tipo: autofix hft90906s3

Actualización Sistema de actualizaciones 01/10/2009 10:35:50 Correcta Tipo: autofix hft90906s1

Actualización Sistema de actualizaciones 01/10/2009 10:35:49 Correcta Archivo: Identificadores de amenazas

Virus detectado: W32/Autorun.JIS Protección antivirus 01/10/2009 10:34:51 Desinfectado Ubicación: D:\AKARO.EXE

Virus detectado: W32/Autorun.JIS Protección antivirus 01/10/2009 10:34:49 Desinfectado Ubicación: D:\AKARO.EXE

Virus detectado: W32/Autorun.JIS.worm Protección antivirus 01/10/2009 10:34:48 Desinfectado Ubicación: D:\AUTORUN.INF

Virus detectado: W32/Autorun.JIS.worm Protección antivirus 01/10/2009 10:34:47 Desinfectado Ubicación: D:\AUTORUN.INF

Programa sospechoso detectado Protección contra amenazas... 01/10/2009 10:14:22 Bloqueado Archivo: C:\WINDOWS\LSASS.EXE



Fin de análisis Análisis antivirus inmediato 27/09/2009 13:47:40 Análisis: Analizando unidades de disco duro

Comienzo de análisis Análisis antivirus inmediato 27/09/2009 12:45:54 Análisis: Analizando unidades de disco duro



Fin de análisis Análisis antivirus inmediato 25/09/2009 10:00:41 Análisis: Analizando sistema

Comienzo de análisis Análisis antivirus inmediato 25/09/2009 10:00:41 Análisis: Analizando sistema



Spyware detectado: Cookie/Doubleclick Protección antivirus 24/09/2009 18:07:03 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@DOUBLECLICK[1].TXT

Spyware detectado: Cookie/Atlas DMT Protección antivirus 24/09/2009 18:06:16 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@ATDMT[2].TXT

Spyware detectado: Cookie/Atlas DMT Protección antivirus 24/09/2009 18:03:39 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@ATDMT[1].TXT

Spyware detectado: Cookie/Xiti Protección antivirus 24/09/2009 17:58:53 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@XITI[1].TXT

Spyware detectado: Cookie/Tradedoubler Protección antivirus 24/09/2009 17:58:46 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@TRADEDOUBLER[3].TXT

Spyware detectado: Cookie/Atlas DMT Protección antivirus 24/09/2009 17:58:21 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@ATDMT[1].TXT

Spyware detectado: Cookie/Tradedoubler Protección antivirus 24/09/2009 17:57:38 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@TRADEDOUBLER[2].TXT

Spyware detectado: Cookie/Tradedoubler Protección antivirus 24/09/2009 17:57:38 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@TRADEDOUBLER[3].TXT

Spyware detectado: Cookie/Tradedoubler Protección antivirus 24/09/2009 17:57:38 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@TRADEDOUBLER[1].TXT

Spyware detectado: Cookie/Serving-sys Protección antivirus 24/09/2009 17:45:34 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@SERVING-SYS[3].TXT

Spyware detectado: Cookie/Serving-sys Protección antivirus 24/09/2009 17:45:34 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@SERVING-SYS[1].TXT

Spyware detectado: Cookie/Statcounter Protección antivirus 24/09/2009 17:43:33 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@STATCOUNTER[1].TXT

Spyware detectado: Cookie/YieldManager Protección antivirus 24/09/2009 17:39:58 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@AD.YIELDMANAGER[3].TXT

Spyware detectado: Cookie/YieldManager Protección antivirus 24/09/2009 17:39:57 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@AD.YIELDMANAGER[2].TXT

Spyware detectado: Cookie/YieldManager Protección antivirus 24/09/2009 17:39:57 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@AD.YIELDMANAGER[1].TXT

Spyware detectado: Cookie/Serving-sys Protección antivirus 24/09/2009 17:39:05 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@SERVING-SYS[1].TXT

Spyware detectado: Cookie/Serving-sys Protección antivirus 24/09/2009 17:39:04 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@BS.SERVING-SYS[1].TXT

Spyware detectado: Cookie/Serving-sys Protección antivirus 24/09/2009 17:39:04 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@SERVING-SYS[2].TXT

Spyware detectado: Cookie/Serving-sys Protección antivirus 24/09/2009 17:39:03 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@SERVING-SYS[1].TXT

Spyware detectado: Cookie/Doubleclick Protección antivirus 24/09/2009 17:39:01 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@DOUBLECLICK[1].TXT

Spyware detectado: Cookie/Atlas DMT Protección antivirus 24/09/2009 17:38:20 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@ATDMT[2].TXT

Spyware detectado: Cookie/Atlas DMT Protección antivirus 23/09/2009 9:48:00 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@ATDMT[2].TXT

Spyware detectado: Cookie/Atlas DMT Protección antivirus 23/09/2009 9:45:51 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@ATDMT[2].TXT

Spyware detectado: Cookie/Atlas DMT Protección antivirus 23/09/2009 9:37:36 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@ATDMT[1].TXT

Spyware detectado: Cookie/Atlas DMT Protección antivirus 23/09/2009 9:35:53 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@ATDMT[2].TXT

Spyware detectado: Cookie/Atlas DMT Protección antivirus 22/09/2009 23:31:09 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@ATDMT[2].TXT

Spyware detectado: Cookie/Atlas DMT Protección antivirus 22/09/2009 23:12:37 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@ATDMT[2].TXT

Programa sospechoso detectado Protección contra amenazas... 22/09/2009 21:35:20 Bloqueado Archivo: C:\WINDOWS\LSASS.EXE

Spyware detectado: Cookie/Atlas DMT Protección antivirus 22/09/2009 21:33:12 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@ATDMT[1].TXT

Spyware detectado: Cookie/Atlas DMT Protección antivirus 22/09/2009 21:02:34 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@ATDMT[1].TXT

Programa sospechoso detectado Protección contra amenazas... 22/09/2009 20:26:51 Bloqueado Archivo: C:\WINDOWS\LSASS.EXE

Spyware detectado: Cookie/Atlas DMT Protección antivirus 22/09/2009 20:24:39 Desinfectado Ubicación: C:\DOCUMENTS AND SETTINGS\DANI\COOKIES\DANI@ATDMT[1].TXT

Fin de análisis Análisis antivirus inmediato 22/09/2009 19:58:39 Análisis: Analizando unidades de disco duro

Virus detectado: W32/Autorun.JIS Análisis antivirus inmediato 22/09/2009 19:47:15 Movido a cuarentena Ubicación: D:\akaro.exe

Virus detectado: W32/Autorun.JIS Análisis antivirus inmediato 22/09/2009 19:41:39 Movido a cuarentena Ubicación: C:\WINDOWS\lsass.exe

Virus detectado: W32/Autorun.JIS Análisis antivirus inmediato 22/09/2009 19:38:29 Movido a cuarentena Ubicación: C:\WINDOWS\Debug\dido.exe

Programa sospechoso detectado Protección contra amenazas... 22/09/2009 19:38:29 Bloqueado Archivo: C:\WINDOWS\LSASS.EXE

Virus detectado: W32/Autorun.JIS Análisis antivirus inmediato 22/09/2009 19:38:29 Movido a cuarentena Ubicación: C:\WINDOWS\akaro.exe

Spyware detectado: Cookie/Bluestreak Análisis antivirus inmediato 22/09/2009 19:20:20 Eliminado Ubicación: C:\Documents and Settings\dani\Cookies\dani@bluestreak[2].txt

Comienzo de análisis Análisis antivirus inmediato 22/09/2009 18:52:13 Análisis: Analizando unidades de disco duro







hola de nuevo se que soy un pesado pero sobre estos temas son un novato.

acabo de ver en el informe de panda que te adjunto que parece que los a borrado menos el isass.exe que creo que no.

cuando tengais tiempo os lo mirais y si es asi ahora entiendo porque no los encontraba y elistara tampoco,(he borrado del informe muchas cookies porque pesaba mucho)



un saludo

[msc hotline sat]

El informe mas reciente solo detecta 6 cookies (ni caso) y dos detecciones del ELISTARA (falso positivo) asi que nada de nada.



Y lo del isass, no lo ha detectado nunca , solo lsass en C:\windows\lsass.exe, que ya ha eliminado, pues el del sistema estaría en C:\windows\system32



y repito que es una pena que borraras los ficheros maliciosos, pues con añadirles .VIR o moverlos a cuarentena, se ponen fuera de circulacion y se nos pueden enviar para analizar y controlar, como debe ser.



En fin, a la vista de los hechos y de los informes, damos por solucionado el Tema y procedemos a cerrarlo



saludos



ms, 3-10-2009